CERT-FI haavoittuvuustiedote 039/2004
28.5.2004
Haavoittuvuus CVS-ohjelmistossa
| |
|
|
| Kohde: |
- palvelimet ja palvelinsovellukset
|
Lisätietoja |
| Hyökkäystapa: |
- ilman kirjautumista
- etäkäyttö
|
Lisätietoja |
| Hyväksikäyttö: |
- komentojen mielivaltainen suorittaminen
|
Lisätietoja |
| Ratkaisu: |
- korjaava ohjelmistopäivitys
- ongelman rajoittaminen
|
Lisätietoja |
CVS (Concurrent Versions System)-ohjelmistoa käytetään laajasti apuna mm. erityyppisissä ohjelmistokehitystöiden versionhallinnassa. CVS-ohjelmistosta on löydetty puskuriylivuotohaavoittuvuus, jonka avulla hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan.
HAAVOITTUVAT OHJELMISTOT:
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
-
Päivitä haavoittuva tietojärjestelmä korjaustiedostolla tai turvallisella ohjelmistoversiolla. Lisätietoa haavoittuvuudesta sekä ohjelmistokohtaisista korjaustiedostoista sekä turvallisista ohjelmistoversioista on saatavilla mm. osoitteesta http://www.kb.cert.org/vuls/id/192038
-
Sulje haavoittuva CVS-palvelu, kunnes haavoittuva tietojärjestelmä on päivitetty turvallisella ohjelmistoversiolla
-
Rajaa pääsyä haavoittuvaan tietojärjestelmään tuntemattomista tietojärjestelmistä ja -verkoista
-
Rajoita CVS-palvelun käyttöoikeuksia. Lisätietoja käyttöoikeuksien rajoittamisesta on saatavilla mm. osoitteesta http://www.kb.cert.org/vuls/id/192038
LISÄTIETOA:
http://www.f-secure.com/security/fsc-2004-1.shtml
PÄIVITYSHISTORIA:
28.05.2004: Julkaistu
| Sivua päivitetty 25.07.2007 |
|
 |
Tulostusversio |
