Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 064/2003

CERT-FI haavoittuvuustiedote 064/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

30.9.2003

Haavoittuvuuksia OpenSSL-kirjastossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

OpenSSL on TLS (Transport Layer Security)- ja SSL (Secure Sockets Layer) -protokollatoteutus, joka pitää sisällään myös salaukseen tarkoitetun kirjaston. TLS- ja SSL-protokollia käytetään yleisesti tarjoamaan turvallisuusominaisuuksia ylemmän tason protokollille, kuten sovellustason protokollille liittyen esimerkiksi www-palveluihin sekä sähköpostiin. OpenSSL on laajassa käytössä eri ohjelmistoissa ja palveluissa.

OpenSSL-kirjastosta on löydetty kolme haavoittuvuutta. Näistä haavoittuvuuksista kaksi on luonteeltaan sellaisia, joita hyväksikäyttämällä hyökkääjän on mahdollista kohdistaa kohdetietojärjestelmään palvelunestohyökkäys. Kolmatta haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Haavoittuvuuksia voidaan hyväksikäyttää lähettämällä kohdetietojärjestelmään hyökkäystä varten muotoiltu asiakkaan varmenne.

HAAVOITTUVAT OHJELMISTOT:

  • Kaikki OpenSSL-versiot mukaanlukien 0.9.6j ja 0.9.7b

  • Kaikki SSLeay-versiot (SSLeay-versioita ei enää tueta eikä kehitetä)

Lisäksi on löydetty uusi haavoittuvuus OpenSSL versiosta 0.9.6k. Haavoittuvuutta hyväksikäyttämällä voidaan Windows-ympäristössä kohdejärjestelmään kohdistaa palvelunestohyökkäys kaatamalla OpenSSL-ohjelmisto.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä uudella OpenSSL-versiolla 0.9.6l tai 0.9.7c.

Lisätietoa eri ohjelmistovalmistajien tuotteiden haavoittuvuuksista on saatavilla osoitteista:

http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
http://www.uniras.gov.uk/vuls/2003/006489/openssl2.htm

Yllä olevaa ohjelmistovalmistajien listaa päivitetään aina tarpeen vaatiessa.

Yleisohjeena CERT-FI suosittelee sulkemaan tietojärjestelmissä kaikki ne palvelut, joita ei välttämättä tarvita.

LISÄTIETOA:

http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
http://www.uniras.gov.uk/vuls/2003/006489/openssl2.htm
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-63.htm
http://www.openssl.org/news/secadv_20030930.txt
http://www.openssl.org/news/secadv_20031104.txt

PÄIVITYSHISTORIA:

30.09.2003: Julkaistu
05.11.2003: Lisätty tieto uudesta OpenSSL versiosta 0.9.6k löydetystä haavoittuvuudesta, mikä mahdollistaa palvelunestotilanteen aiheuttamisen Windows-ympäristössä.
Sivua päivitetty 30.07.2007   Tulostusversio Tulostusversio