CERT-FI haavoittuvuustiedote 096/2008

25.7.2008

Useita haavoittuvuuksia NetAPP Data ONTAP-käyttöjärjestelmässä

Kohde:	- sulautetut järjestelmät	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

NetAppin valmistamien ulkoisten tiedostopalvelimien eli ns. NAS-laitteiden käyttöjärjestelmästä NetApp Data ONTAPista on löytynyt useita haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi ajaa omia komentojaan, päästä käsiksi luottamukselliseen tietoon tai aiheuttaa laitteen kaatumisen.

HAAVOITTUVAT OHJELMISTOT:

• NetApp Data ONTAP versiot 7.0, 7.1 ja 7.2
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä käyttöjärjestelmä versioon 7.0.7, 7.1.3 tai 7.2.5.1 valmistajan ohjeiden mukaan. Osaa haavoittuvuuksista voidaan rajoittaa käyttämällä httpd.admin.access- tai muita vastaavia toimintoja.

LISÄTIETOA:

• http://www.kb.cert.org/vuls/id/329772
• http://now.netapp.com/NOW/products/cpc/cpc0807-01.shtml
• http://now.netapp.com/NOW/products/cpc/cpc0807-02.shtml
• http://now.netapp.com/NOW/products/cpc/cpc0807-03.shtml
• http://www-1.ibm.com/support/docview.wss?uid=ssg1S7002372
  
• http://www-1.ibm.com/support/docview.wss?uid=ssg1S7002373
  
• http://www.securityfocus.com/bid/30160/info

PÄIVITYSHISTORIA:

25.7.2008, kello 22.39: Julkaistu
26.7.2008, kello 11.00: Lisätty tieto haavoittuvista ohjelmistoversioista

Sivua päivitetty 28.07.2008

Tulostusversio