Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 079/2003

CERT-FI haavoittuvuustiedote 079/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

12.11.2003

Haavoittuvuus Nokian IPSO -käyttöjärjestelmässä

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - käyttövaltuuksien laajentaminen
- tietojen muokkaaminen
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Nokian IP Security Platform -laitteet (palomuuri) on varustettu IPSO-käyttöjärjestelmällä. Laitteita voidaan hallita mm. WWW-pohjaisella Nokia Network Voyager -hallintaohjelmistolla, joka mahdollistaa Nokian palomuurilaitteiden hallinnan ja monitoroinnin. Palomuurin ja Nokia Network Voyagerin välinen yhteys on mahdollista suojata käyttämällä SSL-salausta. Tämä toiminne ei ole kuitenkaan oletusarvoisesti käytössä.

Nokian IPSO-käyttöjärjestelmästä on löydetty haavoittuvuus, joka mahdollistaa skriptin (komentokielisen lauseen) tuomisen Network Voyager -hallintaohjelmistoon, jolloin hyökkääjän on mahdollista saada kohdetietojärjestelmään etäyhteys ylläpitäjän oikeuksilla. Tällöin hyökkääjä voi luoda uusia ylläpitotunnuksia ja salasanoja tunnuksille, poistaa käytöstä samalla alustalla toimivia muita ohjelmistoja sekä uudelleen käynnistää tuotealustan ja saada näin käyttöön uuden järjestelmäkonfiguraation.

HAAVOITTUVAT OHJELMISTOT:

  • IPSO-käyttöjärjestelmäversio 3.5

  • IPSO-käyttöjärjestelmäversio 3.6

  • IPSO-käyttöjärjestelmäversio 3.7

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä turvalliseen IPSO-käyttöjärjestelmäversioon 3.5 FCS22, 3.5.1 FCS10, 3.6 FCS13 tai 3.7 Build31. IPSO-käyttöjärjestelmäversiot ovat saatavilla osoitteesta:

http://support.Nokia.com

LISÄTIETOA:

http://www.fishnetsecurity.com/CSIRT/disclosure/Nokia/advisory.public.FN2003111101.txt

http://www.fishnetsecurity.com/CSIRT/disclosure/Nokia/Securing.Nokia.Network.Voyager.pdf

http://www.fishnetsecurity.com/CSIRT/disclosure/Nokia/Nokia.Voyager.Threat.Details.pdf

PÄIVITYSHISTORIA:

12.11.2003: Julkaisu
 Kommentoi 
Sivua päivitetty 30.07.2007   Tulostusversio Tulostusversio