CERT-FI haavoittuvuustiedote 121/2009

3.12.2009

Useita haavoittuvuuksia Simple Machines Forumissa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Simple Machines Forum (SMF) on foorumiohjelmisto jonka avulla voidaan perustaa internet-keskustelupalsta. Ohjelmistosta on löytynyt yhteensä 40 haavoittuvuutta, joiden avulla hyökkääjä voi muokata foorumien sisältöä, hankkia luottamuksellista tietoa, poistaa foorumisovelluksen joitain osia toiminnasta tai suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä.

Haavoittuvuuksia voidaan käyttää hyväksi joko houkuttelemalla foorumin käyttäjä avaamaan tietyllä tavalla muokattu internetsivu. Osaa haavoittuvuuksista voidaan hyväksikäyttää suoraan internetselaimen avulla.

Haavoittuvuuksiin on myös olemassa julkisia hyväksikäyttömenetelmiä.

HAAVOITTUVAT OHJELMISTOT:

• Simple Machines Forum 2.0 RC2
• Simple Machines Forum ennen versiota 1.1.11
• Simple Machines Forum ennen versiota 1.0.19
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä foorumiohjelmisto valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.simplemachines.org/community/index.php?topic=351341.0
• http://www.simplemachines.org/community/index.php?topic=346813.0
• http://www.securityfocus.com/bid/37182/references
• http://www.securityfocus.com/archive/1/508167
  

PÄIVITYSHISTORIA:

3.12.2009, kello 11.00: Julkaistu

Sivua päivitetty 03.12.2009

Tulostusversio