CERT-FI haavoittuvuustiedote 133/2010

31.8.2010

Päivitys korjaa haavoittuvuuden FCKEditor.netissä

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

FCKEditor.net on yleisesti web-sovelluksissa käytetyn tekstieditorin .net -versio. Editorista on löytynyt haavoittuvuus minkä avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohteena olevassa järjestelmässä. Haavoittuvuuden onnistunut hyväksikäyttö vaatii, että kohdejärjestelmän www-palvelin on toteutettu käyttäen IIS:ää.

Haavoittuvuus liittyy vuoden 2009 lopulla julki tulleeseen haavoittuvuuteen IIS www-palvelimissa. CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen 132/2009.

HAAVOITTUVAT OHJELMISTOT:

• FCKEditor.net versiot 2.5.1 ja 2.6.6 ja mahdollisesti aikaisemmat versiot.
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Editorista on julkaistu korjattu versio 2.6.4. Päivitä editori valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://ckeditor.com/blog/FCKeditor.Net_2.6.4_released
• http://www.securityfocus.com/archive/1/513422
• http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-132.html
• CVE-2009-4444
  

PÄIVITYSHISTORIA:

31.8.2010, kello 14.25: Julkaistu

Sivua päivitetty 03.09.2010

Tulostusversio