CERT-FI haavoittuvuustiedote 076/2002

31.10.2002

Haavoittuvuus Microsoft Windows 2000 / Windows XP PPTP-toteutuksessa


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

PPTP (Point-to-Point Tunneling Protocol, RFC 2637) on VPN-toteutuksissa käytetty tunnelointiprotokolla. Microsoft Windows 2000 ja Windows XP -käyttöjärjestelmien PPTP-toteutuksissa on havaittu puskuriylivuotohaavoittuvuus PPTP-yhteyksien luontiin, ylläpitoon ja purkuun käytetyssä ohjelmakoodissa. Haavoittuvuutta hyväksikäyttäen hyökkääjä voi kaataa kohdetietojärjestelmän käyttöjärjestelmän. Varoitusta laadittaessa ei ole tiedossa menetelmää käyttää haavoittuvuutta hyökkääjän ohjelmakoodin suorittamiseen haavoittuvassa kohdetietojärjestelmässä.

Microsoft on luokitellut haavoittuvuuden erityisesti Windows 2000 -palvelinten osalta Critical -luokkaan.

HAAVOITTUVAT OHJELMISTOT:

Microsoft Windows 2000 tai Windows XP -käyttöjärjestelmällä varustetut tietojärjestelmät, joko

tietojärjestelmä jossa on RAS-palvelu käytössä joka tarjoaa PPTP-yhteyden muodostusmahdollisuuden
tietojärjestelmä jolla on muodostettu PPTP-yhteys etäpalvelimeen (etäpalvelimen ei tarvitse olla Microsoft-käyttöjärjestelmällä varustettu laite)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä tietojärjestelmä Microsoft-turvabulletiinin MS02-063 mukaisesti
Jos palvelimessa ei tarvita PPTP-käyttöön asennettua RAS-palvelua, poista RAS-palvelun PPTP-tuki käytöstä

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-063.asp

PÄIVITYSHISTORIA:

31.10.2002: Julkaistu

Sivua päivitetty 20.08.2007

Tulostusversio