Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI haavoittuvuustiedote 034/2008

CERT-FI haavoittuvuustiedote 034/2008

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

17.3.2008

Haavoittuvuuksia pakkaus- ja arkistoformaattien toteutuksissa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
- ongelman rajoittaminen
- ei päivitystä tai rajoitusmenetelmää
Lisätietoja

Lukuisista eri pakkaus- ja arkistoformaattien toteutuksista on löydetty erilaisia haavoittuvuuksia. Haavoittuvuudet liittyvät tuotteisiin, jotka käsittelevät ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP ja ZOO -tiedostomuotoja. Löydetyistä haavoittuvuuksista vakavimpia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjä voi kohdistaa kohdejärjestelmään palvelunestohyökkäyksen.

Pakkaus- ja arkistoformaatteja käytetään muun muassa tiedon (tyypillisesti tiedostojen, mutta myös esimerkiksi verkkoliikenteen tai tiedoston sisältämän kuvatietueen) tiivistämiseen sekä tiedostojen ja hakemistorakenteiden arkistointiin. Haavoittuvuustapaus on laaja, sillä pakattua ja arkistoitua sisältöä käsitellään hyvin monenlaisissa sovelluksissa, kuten sisällöntarkistajasovellukset (anti-virus, sisällönsuodatin), varmuuskopiointiohjelmistot, toimistosovellukset, salausohjelmistot ja käyttöjärjestelmät sekä niiden kirjastot. Haavoittuvuudet ja niiden vakavuudet vaihtelevat suuresti eri valmistajien kesken.

Haavoittuvuudet on löydetty Oulun yliopiston OUSPG-ryhmän tekemällä arkisto- ja pakkausimplementaatioiden testaamiseen tarkoitetulla testimateriaalilla. CERT-FI on yhdessä kolleegoidensa brittiläisen CPNI:n ja japanilaisen JPCERT:in kanssa koordinoinut maailmanlaajuisesti testimateriaalin jakelua ja muuta testausvaiheeseen liittyvää toimintaa eri ohjelmisto- ja laitevalmistajien kanssa.

HAAVOITTUVAT OHJELMISTOT:

  • Lukuisat pakkaus- ja arkistoformaatteja käsittelevät sovellukset. Tarkemmat tiedot haavoittuvista ohjelmistoista saa oheisesta tiedotteesta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva sovellus valmistajan ohjeiden mukaan.

LISÄTIETOA:

PÄIVITYSHISTORIA:

17.3.2008, kello 14.00: Julkaistu

Sivua päivitetty 17.03.2008   Tulostusversio Tulostusversio