Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2010 > CERT-FI haavoittuvuustiedote 112/2010

CERT-FI haavoittuvuustiedote 112/2010

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

22.7.2010

Haavoittuvuuksia OpenLDAP-hakemistopalvelussa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja
OpenLDAP on avoimen lähdekoodin toteutus yleisesti käytetystä LDAP-hakemistoprotokollasta (Lightweight Directory Access Protocol). LDAP-hakemistoja käytetään yleisesti käyttäjien tunnistamiseen. OpenLDAP-ohjelmistosta on löydetty kaksi haavoittuvuutta, joita hyväksikäyttämällä hyökkääjä voi aiheuttaa palvelunestotilan tai mahdollisesti suorittaa omia komentojaan kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää lähettämällä palvelulle tietyllä tavalla muokattuja komentoja. Hyväksikäyttö ei vaadi palvelimelle kirjautumista.

Haavoittuvuuskoordinointi

Haavoittuvuuden löysivät Ilkka Mattila ja Tuomas Salomäki Codenomicon Oy:n järjestämässä Crash Test Party-testitilaisuudessa Codenomicon LDAPv3-testityökalulla. CERT-FI on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjien ja valmistajan kanssa. CERT-FI kiittää OpenLDAP-projektia ja haavoittuvuuden löytäjiä yhteistyöstä haavoittuvuuksien korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

  • OpenLDAP ennen versiota 2.4.23

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto uusimpaan versioon valmistajan www-sivuilta:

http://www.openldap.org/

tai asenna käyttämäsi käyttöjärjestelmä- tai sovellusvalmistajan tarjoama korjauksen sisältävä ohjelmistopaketti.

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #383115] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html.


LISÄTIETOA:

PÄIVITYSHISTORIA:

22.7.2010, kello 11.33: Julkaistu
30.7.2010, kello 11.36: Lisätty linkit Mandrivan ja Debianin tiedotteisiin
16.8.2010, kello 15.43: Lisätty linkki JPCERT/CC:n tiedotteeseen

 Kommentoi 
Sivua päivitetty 16.08.2010   Tulostusversio Tulostusversio

Tähän haavoittuvuuteen liittyvää luettavaa