Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 041/2002

CERT-FI haavoittuvuustiedote 041/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

11.7.2002

Haavoittuvuuksia CDE ToolTalk -sovelluksessa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- tietojen muokkaaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
- ongelman rajoittaminen
Lisätietoja

CDE (Common Desktop Environment) on Unix ja Linux-käyttöjärjestelmissä käytössä oleva ikkunointihallinta-ohjelma. CDE-ikkunointihallinta-ohjelman ToolTalk RPC Database -sovelluksesta on löydetty kaksi haavoittuvuutta. Ensimmäistä haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista tuhota kohdetietojärjestelmän tietoja, kohdistaa kohdetietojärjestelmään palvelunestohyökkäyksen tai mahdollisesti suorittaa kohdetietojärjestelmässä omia komentojaan. Toista haavoittuvuutta hyväksikäyttämällä kohdetietojärjestelmään kirjautunut hyökkääjä voi päällekirjoittaa olemassa olevia tietoja.

HAAVOITTUVAT OHJELMISTOT:

Unix ja Linux -tietojärjestelmät, joissa käytetään CDE ToolTalk -sovellusta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla. Jos haavoittuvan tietojärjestelmän päivitys korjaustiedostolla ei ole mahdollista, rajoita mahdollisuus haavoittuvan ToolTalk-sovelluksen käyttöön. Pääsyä haavoittuvaan ToolTalk-sovellukseen voidaan myös rajata estämällä avoimesta verkosta pääsy sovelluksen käyttämiin portteihin. Yleisohjeena CERT-FI suosittaa ottamaan pois käytöstä kaikki ne palvelut, joita ei välttämättä tarvita.

LISÄTIETOA:

http://www.cert.org/advisories/CA-2002-20.html/

http://www.opengroup.org/cde/

PÄIVITYSHISTORIA:

11.07.2002: Julkaistu
Sivua päivitetty 22.08.2007   Tulostusversio Tulostusversio