Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 067/2009

CERT-FI haavoittuvuustiedote 067/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

29.7.2009

Haavoittuvuus BIND-nimipalveluohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

BIND on laajalti käytössä oleva nimipalveluohjelmisto. Ohjelmistosta on löytynyt haavoittuvuus, jonka liittyy dynaamisten päivitysten käsittelyyn. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä nimipalvelimelle tietyllä tavalla muokattu dynaaminen päivityspaketti, mikä aiheuttaa kohdepalvelimella palvelunestotilan.

Haavoittuvuuden hyväksikäyttö on mahdollista, vaikka dynaamisia päivityksiä ei olisi otettu käyttöön palvelimella. Haavoittuvuuteen on julkaistu julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

  • BIND 9.4 ennen versiota 9.4.3-P3
  • BIND 9.5 ennen versiota 9.5.1-P3
  • BIND 9.6 ennen versiota 9.6.1-P1
  • BIND 9 ennen versiota 9.4

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto korjattuun versioon. Haavoittuvuuteen ei ole rajoitusmenetelmää.

LISÄTIETOA:

PÄIVITYSHISTORIA:

29.7.2009, kello 0.29: Julkaistu
29.7.2009, kello 14:45: Muutettu CVE-linkki toimivaksi ja selvennetty haavoittuvia ohjelmistoversioita

Sivua päivitetty 29.07.2009   Tulostusversio Tulostusversio