Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 068/2004

CERT-FI haavoittuvuustiedote 068/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

15.9.2004

Haavoittuvuuksia Apache-palvelinohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apache on laajasti käytössä oleva www-palvelinohjelmisto. Apache-ohjelmistosta on löytynyt kaksi uutta haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy Apache-ohjelmistokoodin ydintoimintoon, josta puuttuu IPv6 kirjainmuodossa esitettyjen osoitesyötteiden tarkistus. Hyökkääjä voi hyväksikäyttää haavoittuvuutta tietyllä tavalla muotoiltujen URL-osoitteiden avulla. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista ohjelmistoalustasta riippuen suorittaa kohdejärjestelmässä omia komentojaan.

Haavoittuvuuksista toinen liittyy puskurinylivuototilanteeseen, joka voi tapahtua silloin, kun määrittelytiedostojen muuttujia kasvatetaan. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista saada kohdejärjestelmään korkeammat käyttöoikeudet. Haavoittuvuuden hyväksikäyttämiseksi käyttäjän on tallennettava vihamielinen määrittelytiedosto kohdejärjestelmään.

HAAVOITTUVAT OHJELMISTOT:

  • Apache 2.0.x

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Apache-palvelinohjelmisto valmistajan ohjeiden mukaisesti. Päivittyvää tietoa eri palvelinalustoihin liittyen löytyy osoitteesta:

http://www.uniras.gov.uk/vuls/2004/403518/index.htm

Haavoittuvuuteen saatavilla olevat korjaukset tulevat olemaan mukana Apache 2.0.51 -palvelinohjelmistoversiossa.

LISÄTIETOA:

http://www.uniras.gov.uk/vuls/2004/403518/index.htm

PÄIVITYSHISTORIA:

15.09.2004: Julkaistu
Sivua päivitetty 19.07.2007   Tulostusversio Tulostusversio