Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2010 > CERT-FI haavoittuvuustiedote 119/2010

CERT-FI haavoittuvuustiedote 119/2010

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

3.8.2010

Haavoittuvuuksia VxWorks-käyttöjärjestelmässä

     
Kohde: - sulautetut järjestelmät
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja

Wind River Systems VxWorks on laajalti käytetty sulautettujen järjestelmien käyttöjärjestelmä. Käyttöjärjestelmästä on löytynyt kaksi haavoittuvuutta. Ensimmäinen haavoittuvuus liittyy käyttöjärjestelmän vakiona päällä olevaan debug-toiminnallisuuteen. Toiminnallisuus mahdollistaa hyökkääjän ohjelmakoodin suorittamisen lähettämällä laitteelle UDP-paketteja. Haavoittuvuus mahdollistaa myös käyttöjärjestelmän muistin sisällön tutkimisen.

Toinen haavoittuvuus on käyttöjärjestelmän vakiona käyttämään tiivistealgoritmissa. Suunnitteluvirheen seurauksena useat eri salasanat tuottavat saman tiivisteen, jolloin salasanojen murtaminen yritys/arvaus-menetelmällä on paljon nopeampaa.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvat ohjelmistot on lueteltu haavoittuvuustiedotteissa.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Asenna uudet ohjelmistoversiot, kun ne tulevat saataville. Ensimmäisen haavoittuvuuden hyväksikäyttöä voi estää rajoittamalla udp-liikennettä laitteen porttiin 17185. Toisen haavoittuvuuden hyväksikäytön voi estää ottamalla pois käytöstä etäkäyttöpalvelut esim. telnet tai FTP.

LISÄTIETOA:

  • http://www.kb.cert.org/vuls/id/362332
  • http://www.kb.cert.org/vuls/id/840249

PÄIVITYSHISTORIA:

3.8.2010, kello 13.29: Julkaistu

Sivua päivitetty 03.08.2010   Tulostusversio Tulostusversio