int(1072)

Boletines de Vulnerabilidades


Denegación de Servicio en RealNetworks Helix Server

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Helix Universal Mobile Server & Gateway <=10.3.1.716
Helix Universal Server <=9.0.4.958

Descripción

Se ha descubierto una vulnerabilidad en la versión 9.0.4.958 y anteriores de Helix Universal Server y en la versión 10.3.1.716 y anteriores de Helix Universal Mobile Server & Gateway. La vulnerabilidad reside en el manejo de peticiones POST especialmente diseñadas.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto causar un elevado consumo de recursos, lo que podría llevar a una situación de denegación de servicio del sistema, mediante el envío de una petición POST que contenga una cabecera Content-Length con valor "-1".

Solución



Actualización de software

RealNetworks

Helix Universal Server 9.0.4.960
Linux
http://forms.real.com/rnforms/products/servers/download/download.final.html?platform=Linux+version+2.4.18&product=Helix+Universal+Server&program=basic&version=Helix+Universal+Server
Sun Solaris 2.8
http://forms.real.com/rnforms/products/servers/download/download.final.html?platform=Sun+Solaris+2.8&product=Helix+Universal+Server&program=basic&version=Helix+Universal+Server
Windows
http://forms.real.com/rnforms/products/servers/download/download.final.html?platform=Windows+NT+4.0+%26+2000&product=Helix+Universal+Server&program=basic&version=Helix+Universal+Server

Helix Mobile Universal Server & Gateway
Helix Mobile Universal Server & Gateway 10.04.1226
http://service.real.com/pam/

Identificadores estándar

Propiedad Valor
CVE CAN-2004-0774
BID

Recursos adicionales

iDEFENSE Security Advisory
http://www.idefense.com/application/poi/display?id=151&type=vulnerabilities&flashstatus=true

RealNetworks Security Advisory
http://service.real.com/help/faq/security/security100704.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-10-08

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT