Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2010 > CERT-FI haavoittuvuustiedote 014/2010

CERT-FI haavoittuvuustiedote 014/2010

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

21.1.2010

Haavoittuvuus GNU gzip-ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
- matkaviestimet
- sulautetut järjestelmät
- muut
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

GNU gzip on yleisesti käytetty tiedostojen pakkaukseen ja purkuun tarkoitettu ohjelma. Siitä on löydetty kaksi haavoittuvuutta, joista ensimmäinen liittyy dynaamisten Huffman-blokkien käsittelyyn ja toinen Lempel–Ziv–Welch (LZW) -pakkausta käyttävien tiedostojen käsittelyyn. Haavoittuvuudet voivat aikaansaada kohdejärjestelmässä palvelunestotilan, tai potentiaalisesti mahdollistaa hyökkääjän oman ohjelmakoodin suorituksen kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä se pakattuja tiedostoja käsittelevälle palvelimelle.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Oulun Yliopiston tutkimusryhmä OUSPG:tä haavoittuvuuksien raportoinnista, ja koordinointiin osallistuneita valmistajia yhteistyöstä haavoittuvuuden korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

    • Haavoittuvuus vaikuttaa GNU gzip -versioihin 1.3.3 to 1.3.14. Viimeisin versio 1.4 ei ole haavoittuva

      RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

      Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Haavoittuvuus on korjattu myös useiden paketinhallintajärjestelmien julkaisemissa ohjelmistopaketeissa.

      Haavoittuvuuskoordinoinnin yhteystiedot

      CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

      Sähköposti:vulncoord@ficora.fi

      Mainitkaa tapausnumero [FICORA #216853] viestin otsikossa.

      Muut yhteystiedot:

      https://www.cert.fi/palvelut/yhteystiedot.html

      Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

      CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

      https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

      CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettvissa osoitteesta:

      https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html.

      LISÄTIETOA:

      PÄIVITYSHISTORIA:

      21.1.2010, kello 17.27: Julkaistu
      4.6.2010, kello 15.30: Lisätty linkki JPCERT/CC:n tiedotteeseen
      26.7.2010, kello 13.52: Lisätty linkki Debianin tiedotteeseen
      15.11.2010, kello 9.59: Lisätty linkki Applen tiedotteeseen

      Sivua päivitetty 15.11.2010   Tulostusversio Tulostusversio

      Tähän haavoittuvuuteen liittyvää luettavaa