Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2006 > Heinäkuu > Julkaisujärjestelmien tietoturvallisuudessa puutteita

Tietoturva nyt!

19.7.2006

Julkaisujärjestelmien tietoturvallisuudessa puutteita

Web-sivustojen ylläpidossa ja sisällön hallinnassa käytetään usein apuna julkaisujärjestelmiä (CMS, content management system). Järjestelmien avulla sivuston ylläpitäjä voi helposti määritellä sivujen rakenteen ja ulkoasun sekä hallita niiden tietosisältöä. Ilmaiseksi saatavilla olevat järjestelmät, kuten Mambo ja Joomla, ovat yleistyneet sekä henkilökohtaisilla sivuilla että yritysten ja yhteisöjen sivustoilla.

Erityisesti julkaisujärjestelmiin liittyvien komponenttien tietoturvallisuudessa on havaittu puutteita. PHP-tekniikkaa käyttävien järjestelmien haavoittuvuudet voivat mahdollistaa joko sivujen sisällön luvattoman muokkaamisen tai jopa hyökkääjän oman ohjelmakoodin suorittamisen palvelimella.

Jos palvelimella käytetään julkaisujärjestelmää, on sen tietoturvallisuudesta huolehdittava päivittämällä järjestelmä tai sen käyttämä ohjelmakomponentti tarvittaessa sellaiseen versioon, josta mahdolliset haavoittuvuudet on korjattu. Lisäksi on varmistettava, että sen tarvitsemien tiedostojen suojausasetukset ovat ohjeiden mukaiset.

Heinäkuussa on raportoitu seuraavien Mambo- tai Joomla-järjestelmissä käytettävien ohjelmakomponenttien vakavista haavoittuvuuksista, jotka voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen palvelimella:

Joomlaboard 1.x (Lisätietoja: http://secunia.com/advisories/21059/)
SiteMap 2.x (Lisätietoja: http://secunia.com/advisories/21055/)
com_hashcash 1.x (Lisätietoja: http://secunia.com/advisories/21053/)
perForms 1.x (Lisätietoja: http://secunia.com/advisories/21044/)
PccookBook 1.x (Lisätietoja: http://secunia.com/advisories/21015/)
SimpleBoard 1.x (Lisätietoja: http://secunia.com/advisories/20981/)
Galleria 1.x (Lisätietoja: http://secunia.com/advisories/20949/)

Julkaisujärjestelmien omat tietoturvafoorumit:

Mambo: http://forum.mamboserver.com/forumdisplay.php?f=216
Joomla: http://forum.joomla.org/index.php/topic,40046.0.html

Lisätietoa


Sivua päivitetty 09.03.2007   Tulostusversio Tulostusversio