Heinäkuu

19.07.2006

Julkaisujärjestelmien tietoturvallisuudessa puutteita

Web-sivustojen ylläpidossa ja sisällön hallinnassa käytetään usein apuna julkaisujärjestelmiä (CMS, content management system). Järjestelmien avulla sivuston ylläpitäjä voi helposti määritellä sivujen rakenteen ja ulkoasun sekä hallita niiden tietosisältöä. Ilmaiseksi saatavilla olevat järjestelmät, kuten Mambo ja Joomla, ovat yleistyneet sekä henkilökohtaisilla sivuilla että yritysten ja yhteisöjen sivustoilla.

Erityisesti julkaisujärjestelmiin liittyvien komponenttien tietoturvallisuudessa on havaittu puutteita. PHP-tekniikkaa käyttävien järjestelmien haavoittuvuudet voivat mahdollistaa joko sivujen sisällön luvattoman muokkaamisen tai jopa hyökkääjän oman ohjelmakoodin suorittamisen palvelimella.

Jos palvelimella käytetään julkaisujärjestelmää, on sen tietoturvallisuudesta huolehdittava päivittämällä järjestelmä tai sen käyttämä ohjelmakomponentti tarvittaessa sellaiseen versioon, josta mahdolliset haavoittuvuudet on korjattu. Lisäksi on varmistettava, että sen tarvitsemien tiedostojen suojausasetukset ovat ohjeiden mukaiset.

Heinäkuussa on raportoitu seuraavien Mambo- tai Joomla-järjestelmissä käytettävien ohjelmakomponenttien vakavista haavoittuvuuksista, jotka voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen palvelimella:

Joomlaboard 1.x (Lisätietoja: http://secunia.com/advisories/21059/)
SiteMap 2.x (Lisätietoja: http://secunia.com/advisories/21055/)
com_hashcash 1.x (Lisätietoja: http://secunia.com/advisories/21053/)
perForms 1.x (Lisätietoja: http://secunia.com/advisories/21044/)
PccookBook 1.x (Lisätietoja: http://secunia.com/advisories/21015/)
SimpleBoard 1.x (Lisätietoja: http://secunia.com/advisories/20981/)
Galleria 1.x (Lisätietoja: http://secunia.com/advisories/20949/)

Julkaisujärjestelmien omat tietoturvafoorumit:

Mambo: http://forum.mamboserver.com/forumdisplay.php?f=216
Joomla: http://forum.joomla.org/index.php/topic,40046.0.html

18.07.2006

Microsoftilta tiedote PowerPoint-haavoittuvuuteen liittyen

Microsoft on julkaissut tietoturvatiedotteen Microsoft PowerPoint -ohjelmiston haavoittuvuuteen liittyen. Haavoittuvuutta on hyväksikäytetty maailmalla lähinnä kohdistetuissa hyökkäyksissä. Tietoturvatiedotteen mukaan Microsoftin tavoitteena on julkaista haavoittuvuuden korjaava tietoturvapäivitys tiistaina 8. elokuuta 2006 normaalin päivitysaikataulunsa mukaisesti.

Microsoftin tietoturvatiedote on saatavilla osoitteesta:

http://www.microsoft.com/technet/security/advisory/922970.mspx

14.07.2006

PowerPoint-haavoittuvuuden hyväksikäyttö

Maailmalta on raportoitu uuden Microsoft PowerPoint-haavoittuvuuden hyväksikäytöstä. Haavoittuvuutta hyväksikäyttävää haittaohjelmaa levitetään sähköpostitse. Haavoittuvuuteen ei ole tällä hetkellä saatavissa korjaustiedostoa.

CERT-FI:n tietoon ei ole tullut suomalaisiin organisaatioihin kohdistuneita tapauksia, joissa kyseistä haavoittuvuutta olisi hyväksikäytetty. Tämänhetkisen tiedon mukaan haavoittuvuutta hyväksikäytetään pääasiassa kohdistetuissa hyökkäyksissä.

CERT-FI suosittelee välttämään epäilyttävien sähköpostin liitetiedostojen avaamista. CERT-FI suosittelee myös käyttämään kaikkeen muuhun, kuin ylläpitotoimiin, vain peruskäyttäjän oikeuksia.

Lisätietoa haavoittuvuudesta sekä haavoittuvuutta hyväksikäyttävästä haittaohjelmasta:

http://secunia.com/advisories/21040/

http://blogs.securiteam.com/?p=508

http://www.symantec.com/security_response/writeup.jsp?docid=2006-071212-4413-99&tabid=2

Microsoftin ohjeistusta käyttöjärjestelmän käyttöoikeuksien rajoittamiseen:

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/luawinxp.mspx

14.07.2006

Haxdoor-ohjelma paljastanut internet-käyttäjien salasanoja

CERT-FI:n tietoon on tullut tapauksia, joissa tietokoneen käyttäjän web-palveluissa käyttämiä tunnuksia ja salasanoja on joutunut sivullisten haltuun.

Käyttäjän tietokoneeseen asentunut Haxdoor-niminen vakoiluohjelma tarkkailee www-selaimen käyttöä ja välittää käyttäjän syöttämät tiedot myös sivullisen ylläpitämälle palvelimelle. Tiedot voivat sisältää esimerkiksi verkkokaupoissa tai pankkipalveluissa käytettäviä tunnuksia ja salasanoja tai luottokorttitietoja. Ohjelma osaa ohittaa myös SSL-suojattujen sivujen yhteyskohtaisen salauksen. Haxdoor-tartuntaa on erittäin vaikea havaita.

Maailmalla on raportoitu lähes sadasta tuhannesta Haxdoorilla murretusta tietokoneesta. Suomesta on toistaiseksi tiedossa yksittäisiä tapauksia. CERT-FI on ollut yhteydessä niihin suomalaisiin verkkopalvelujen tarjoajiin, joiden asiakkaiden tietojen tiedetään paljastuneen.

Haxdoor toimii useimmissa Windows-käyttöjärjestelmän versioissa. Yleisimmin käytetyt virustorjuntaohjelmat tunnistavat Haxdoor-ohjelman, ja käyttäjien tulisikin varmistaa, että torjuntaohjelma toimii moitteettomasti ja että sen virustietokanta on päivitetty ajan tasalle.

12.07.2006

Microsoft on julkaissut heinäkuun tietoturvatiedotteet

Microsoft on julkaissut korjauspäivitykset seitsemään Microsoftin tuotteita koskevaan haavoittuvuuteen. Päivityksistä viisi on merkitty kriittisiksi.

CERT-FI on julkaissut Microsoft -ohjelmistoja koskevista haavoittuvuuksista varoitukset 39/2006 ja 40/2006.

Päivitä haavoittuvat ohjelmistot Microsoftin päivityspalvelun kautta osoitteesta:

http://update.microsoft.com

06.07.2006

Microsoft-työasemaohjelmistoissa hyväksikäytettyjä haavoittuvuuksia

Osaa Microsoftin ohjelmistojen haavoittuvuuksista hyväksikäytetään parhaillaan. Tällaisista esimerkkinä ovat Word-ohjelmiston haavoittuvuus, johon liittyen CERT-FI julkaisi varoituksen 33/2006, ja Excel-ohjelmiston haavoittuvuus, johon ei ole vielä saatavilla korjausta.

Excel-ohjelmiston haavoittuvuutta voi olla mahdollista hyväksikäyttää muun muassa houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu Excel-dokumentti. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista esimerkiksi suorittaa kohdejärjestelmässä omia komentojaan.

Useisiin haavoittuvuuksista on julkisesti saatavilla oleva hyväksikäyttömenetelmä. Osaan haavoittuvuuksista on olemassa jo korjaus, mutta kaikkiin haavoittuvuuksiin ei ole vielä korjausta saatavilla.

CERT-FI suosittelee päivittämään haavoittuvat tietojärjestelmät saatavilla olevilla ohjelmistopäivityksillä ja käyttämään kaikkeen muuhun, kuin ylläpitotoimiin tavallisen käyttäjän oikeuksia. Käytä ajantasaisilla virustunnisteilla varustettua virustorjuntaohjelmistoa sekä palomuuria. Selainohjelmiston turvalliseen käyttöön löytyy ohjeita edellisestä tietoturva nyt -artikkelistamme.

Lista viime aikoina julkaistuista Microsoftin ohjelmistoja koskevista haavoittuvuuksista:

Oheisen listan ei ole tarkoitus kattaa kaikkia korjaamattomia haavoittuvuuksia Microsoftin ohjelmistoissa. CVE-numerot yksilöivät eri haavoittuvuudet ja ne toimivat myös linkkeinä sivuille, joilta löytyy lisätietoja kyseisistä haavoittuvuuksista.

05.07.2006

Uusi haavoittuvuus julkaisuun päivittäin

HD Moore on tutkinut eri selainohjelmistojen tietoturvallisuutta. Tutkimustyön tuloksena Moore on luvannut julkaista yhden selainohjelmistoa koskevan haavoittuvuuden joka päivä koko heinäkuun ajan. Tieto on saatavilla Mooren ylläpitämästä internet-blogista, jossa hän julkaisee myös löytämänsä haavoittuvuudet.

Tähän päivään mennessä haavoittuvuusjulkaisuja on ilmestynyt viisi, joista kolmeen ei ole saatavilla vielä korjausta. Korjaamattomista haavoittuvuuksista kaksi koskee Internet Explorer- ja yksi Safari-selainohjelmaa.

US-CERT:n ja CERT/CC:n ohjeet selainohjelmien turvaamiseen:

http://www.us-cert.gov/reading_room/securing_browser/

http://www.cert.org/tech_tips/malicious_code_FAQ.html

Microsoftin ohje turvalliseen internet-sivujen selaamiseen:

http://www.microsoft.com/athome/security/online/browsing_safety.mspx

Firefox-selaimen turvaamiseen tarjolla olevia laajennusosia:

http://www.cerias.purdue.edu/weblogs/coj/secure-it-practices/post-22/

http://www.cerias.purdue.edu/weblogs/coj/secure-it-practices/post-36/