Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 132/2009

CERT-FI haavoittuvuustiedote 132/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

25.12.2009

Microsoft IIS www-palvelimessa haavoittuvuus tiedostopäätteiden käsittelyssä

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - suojauksen ohittaminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja

Microsoft Internet Information Services -ohjelmistosta on löydetty haavoittuvuus tiedostopäätteiden tulkitsemisessa jos tiedoston nimessä on useita puolipisteellä erotettuja päätteitä. Esimerkiksi tiedostoa

evil.asp;.jpg

käsitellään palvelimella kuten .ASP-tiedostoa.

Jos web-sovelluksessa on sallittu tiedostojen siirtäminen palvelimelle, suoritettavien tiedostojen torjuminen voi perustua tiedostopäätteeseen, ja esimerkkitapauksessa tiedoston siirtäminen sallittaisiin, koska suojauksen kannalta tiedosto näyttää olevan .jpg-kuvatiedosto.

ASP.NET-sovellukset eivät ole haavoittuvia, sillä .NET ei tunnista kuvatun kaltaista tiedostonimeä ja tuloksena on virheilmoitus.

		
		
	








	
	

HAAVOITTUVAT OHJELMISTOT:



	
	

	
	
	
	

	
	
		
			
			
			
			
			
			
			
						
			
			
			
				
    

  • Microsoft IIS versio 6 (ei ASP.NET-sovellukset)
    • 

Käytettävissä olevien tietojen mukaan ainakin versio 6 on haavoittuva. Versio 7.5 ei ole haavoittuva. Muiden versioiden osalta haavoittuvuutta ei voi täysin sulkea pois.

		
		
	








	
	



RATKAISU- JA RAJOITUSMAHDOLLISUUDET:  





	
	

	
	
	
	

	
	
		
			
			
			
			
			
			
			
						
			
			
			
				
Korjaavaa ohjelmistopäivitystä ei ole vielä saatavilla.
Web-sovellusten tekijät voivat rajoittaa palvelimelle siirrettävien tiedostojen nimissä sallittujen merkkien valikoimaa tai pakottaa tiedostojen nimet turvallisiksi sen sijaan, että sovelluksen käyttäjä saisi valita nimen itse.
WWW-palvelinten ylläpitäjien tulisi poistaa ohjelmien suoritusoikeudet kansioista, joihin tiedostoja voi siirtää.

		
		
	








	
	


LISÄTIETOA:




	
	

	
	
	
	

	
	
		
			
			
			
			
			
			
			
						
			
			
			
				
		
		
	








	
	





PÄIVITYSHISTORIA:



	
	

	
	
	
	

	
	
		
			
			
			
			
			
			
			
						
			
			
			
				
25.12.2009, kello 19.10: Julkaistu
28.12.2009, kello 16.00: Lisätty lisätietolinkki ja tietoja haavoittuvista versioista
30.12.2009, kello 10.40: Lisätty lisätietolinkki
30.12.2009, kello 10.45: Lisätty lisätietolinkki
1.9.2010, kello 10:11: Lisätty CVE-numero lisätietoihin

		
		
	








	
	







	
	

	

	

	
	


	
		

			
			

			

				
			

		

	


	
	

	
		




	

  	Sivua päivitetty 01.09.2010
     
    Tulostusversio
    Tulostusversio