 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI haavoittuvuustiedote 018/2003
18.3.2003 Haavoittuvuus Microsoft Windows 2000 ja NT 4.0 -käyttöjärjestelmissä
Microsoft Windows 2000 sekä NT 4.0 -käyttöjärjestelmät sisältävät dynaamisen linkki-kirjaston (DLL) nimeltään ntdll.dll. Tämä ntdll.dll-kirjasto on osa Windows-käyttöjärjestelmän ydintoimintoja ja se on tarkoitettu toimimaan yhdessä mm. Windows-käyttöjärjestelmän ytimen (kernel) kanssa. Ntdll.dll-kirjastosta on löydetty puskuriylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan ja saavuttaa lopulta kohdetietojärjestelmän hallinnan. Haavoittuvuutta on mahdollisuus hyväksikäyttää tunkeutumalla kohdetietojärjestelmään esimerkiksi Microsoft IIS 5.0 (Internet Information Server) -ohjelmiston sisältämän WebDAV-komponentin avulla. Microsoft IIS -ohjelmisto on laajasti käytössä oleva web-palvelinohjelmisto. Microsoft IIS 5.0-ohjelmisto asennetaan oletuksena usean Windows 2000-käyttöjärjestelmäversion mukana ja se käynnistyy automaattisesti. WebDAV-komponentti mahdollistaa web-palvelimella olevien tiedostojen käsittelyn ja se on yksi Windows-käyttöjärjestelmän ohjelmistokomponenteista, jotka käyttävät ntdll.dll-kirjastoa. Tietojärjestelmien ylläpitäjien on tärkeää huomioida, että Windows 2000-käyttöjärjestelmän haavoittuvuuden hyödyntämismenetelmä on julkisesti saatavilla. Tietojärjestelmien ylläpitäjiä suositellaan ryhtymään välittömiin haavoittuvuuden rajaamistoimenpiteisiin. Windows NT-käyttöjärjestelmässä ei ole WebDAV tukea, joten sama hyödyntämismenetelmä ei vaaranna sitä. Windows NT-käyttöjärjestelmän haavoittuvuudelle ei ole tiedossa olevaa hyödyntämismenetelmää. HAAVOITTUVAT OHJELMISTOT:
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta: http://www.microsoft.com/technet/security/bulletin/ms03-007.asp Jos päivittäminen ei ole välittömästi mahdollista sulje haavoittuva IIS 5.0-palvelinohjelmisto, kunnes päivitys voidaan suorittaa. Haavoittuva tietojärjestelmä voidaan tunnistaa etenemällä seuraavasti: Start-menu | Settings | Control Panel | Administrative Tools | Services Jos World Wide Web-palvelu on päällä, silloin IIS-ohjelmisto on asennettu tietojärjestelmään. Microsoft IIS 5.0-ohjelmisto voidaan sulkea käyttämällä IIS Lockdown Tool-sovellusta, joka on ladattavista osoitteesta: http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 Jos haavoittuvan IIS 5.0-ohjelmiston sulkeminen ei ole mahdollista, käytä IIS Lockdown Tool -sovellusta sulkeaksesi WebDAV-tuen. WebDAV-tuen sulkeminen on myös mahdollista seuraamalla Microsoftin julkaisemia ohjeita, jotka löytyvät osoitteesta: http://support.microsoft.com/default.aspx?scid=kb;en-us;241520 Jos ISS Lockdown Tool -tai URLScan-sovelluksien käyttö ei ole mahdollista, rajoita IIS-ohjelmiston käyttämän URL-puskurin kokoa käyttämällä Microsoft URL Buffer Registry Tool- sovellusta. Tätä sovellusta voidaan käyttää tietojärjestelmissä, joihin on asennettu Windows 2000-käyttöjärjestelmäversio ja joihin on asennettu Service Pack 2 tai Service Pack 3-ohjelmistopäivitys. Microsoft URL Buffer Registry Tool -sovellus on ladattavissa osoitteesta: http://go.microsoft.com/fwlink/?LinkId=14875 Yleisohjeena CERT-FI suosittelee kaikkien niiden palveluiden sulkemista, joiden käyttö ei ole välttämätöntä. LISÄTIETOA:http://www.microsoft.com/technet/security/bulletin/MS03-007.asp http://www.microsoft.com/security/security_bulletins/ms03-007.asp http://www.cert.org/advisories/CA-2003-09.html PÄIVITYSHISTORIA:18.03.2003: Julkaistu21.03.2003: Päivitetty 25.04.2003: Lisätty Microsoft NT 4.0 käyttöjärjestelmään liittyvät tiedot
|
|
