Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2007 > Huhtikuu > Yhteenveto haavoittuvuuskuukausikampanjoista

Tietoturva nyt!

19.4.2007

Yhteenveto haavoittuvuuskuukausikampanjoista

Viimeisten kuukausien aikana haavoittuvuuskuukausikampanjat ovat tulleet tutuiksi tietoturvayhteisölle. Kampanjoiden tarkoituksena on ollut julkaista kuukauden aikana tiettyyn ohjelmistotyyppiin tai tietyn valmistajan tuotteisiin liittyviä ohjelmistovirheitä ja haavoittuvuuksia. Tähän hetkeen mennessä neljä bugikuukausikampanjaa on saatu päätökseen. Tässä artikelissa esitetään yhteenveto ja tilastotietoa tähänastisista kampanjoista.

Laajempi yhteenveto alkuvuoden 2007 tietoturvatilanteesta on esitetty CERT-FI Tietoturvakatsauksessa 1/2007. Tilastotietona tässä artikkelissa käytetään muun muassa haavoittuvuuksien uhka-analyysissä hyödynnettävää CVSS-pisteytystä. CVSS-pisteillä kuvataan haavoittuvuuden vakavuutta ja siinä huomioidaan muun muassa haavoittuvuuden vaatima hyökkäystapa ja haavoittuvuuden hyväksikäyttömahdollisuudet. Ilmoitetut tunnusluvut on laskettu haavoittuvuuksien CVSS-peruspisteiden (base score) perusteella.

Haavoittuvuuksien luokittelussa on käytetty US-CERT:n NVD-tietokannassa käytettyä vakavuusluokittelua, jossa vakaviksi (korkea vakavuusaste, high severity) on luokiteltu ne haavoittuvuudet, joiden CVSS-pistearvo on 7,0 tai enemmän.

Month of Browser Bugs

Vuoden 2006 heinäkuu oli Month of Browser Bugs. Se oli ensimmäinen haavoittuvuuskuukausikampanja ja se keskittyi selainhaavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 31 kappaletta ja ne jakautuivat seuraavasti:

Selain

Haavoittuvuuksien lukumäärä

CVSS-pistekeskiarvo

Vakavien haavoittuvuuksien määrä

Apple Safari 2 4,7 1
KDE Konqueror 1 1,9 0
Microsoft Internet Explorer 25 2,5 1
Mozilla 2 6,3 1
Opera 1 2,3 0

Kaikkien Month of Browser Bugs -haavoittuvuuksien CVSS-pistekeskiarvo oli 2,8. Haavoittuvuudet olivat siis pääasiassa melko vaarattomia. NVD-luokituksessa 3,9 CVSS-pistettä tai vähemmän saaneet haavoittuvuudet kuuluvat matalan vakavuusasteen luokkaan. Useimmat julkaistuista haavoittuvuuksista eivät mahdollista varsinaista hyväksikäyttöä, mutta niitä hyödyntämällä hyökkääjä saattaa saada haavoittuvan selainsovelluksen kaatumaan.

Kaikki vakaviksi luokitellut Month of Browser Bugs -haavoittuvuudet on korjattu, mutta osa vähemmän CVSS-pisteitä saaneista on vielä vailla vahvistettua korjausta. Lähes kaikkiin haavoittuvuuksiin on kuitenkin olemassa ainakin rajoitusmahdollisuus. Microsoft Internet Explorerista löydetyistä 25 haavoittuvuudesta 21 liittyi ainakin osittain ActiveX-tekniikkaan. Kaikki selainhaavoittuvuudet olivat etäkäyttöisesti hyväksikäytettäviä.

Month of Kernel Bugs

Vuoden 2006 marraskuu oli Month of Kernel Bugs. Se keskittyi käyttöjärjestelmien ydinkomponenteista (engl. kernel) ja niihin liittyvistä laiteajureista löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 30 kappaletta (yksi haavoittuvuus koski sekä FreeBSD- että Mac OS X-käyttöjärjestelmiä) ja niistä 9 oli etäkäyttöisesti hyväksikäytettäviä. Haavoittuvuudet jakautuivat seuraavasti:

Valmistaja

Haavoittuvuuksien lukumäärä

CVSS-pistekeskiarvo

Vakavien haavoittuvuuksien määrä

Apple 10 5,0 5
Broadcom 1 7,0 1
D-Link 1 10,0 1
FreeBSD 2 3,6 0
GNU/Linux 11 2,6 1
NetGear 3 9,0 3
Solaris 1 2,3 0
Windows 1 7,0 1

Kaikkien Month of Kernel Bugs -haavoittuvuuksien CVSS-pistekeskiarvo oli 4,6, joka on vakavuusasteikolla keskitasoa. Neljä haavoittuvuutta (CVE-2006-5972, CVE-2006-6055, CVE-2006-6059, CVE-2006-6061) sai täydet 10 CVSS-pistettä. Kaikki vakaviksi luokitellut haavoittuvuudet on korjattu. Julkaistuista haavoittuvuuksista 8 on tällä hetkellä vailla vahvistettua korjausta.

Month of Apple Bugs

Vuoden 2007 tammikuu oli Month of Apple Bugs. Se keskittyi Applen tuotteista tai Applen tuotteissa käytettävistä kolmansien osapuolien ohjelmistoista löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 30 kappaletta ja niistä 20 oli etäkäyttöisesti hyväksikäytettäviä. Virallinen korjaus on olemassa 24:een haavoittuvuuteen ja lähes kaikkiin julkaistuihin haavoittuvuuksiin on olemassa ainakin rajoitusmahdollisuus. Apple-haavoittuvuuskuukauden aikana julkaistujen haavoittuvuuksien CVSS-pistekeskiarvo on haavoittuvuuskuukausista korkein eli 6,0. Haavoittuvuuksista 10 on luokitukseltaan vakavia ja neljä haavoittuvuutta (CVE-2007-0117, CVE-2007-0236, CVE-2007-0462, CVE-2007-0466) sai täydet 10 CVSS-pistettä. Month of Apple Bugs -haavoittuvuuksien hyväksikäyttö on tällä erää jäänyt vähäiseksi.

Month of PHP Bugs

Vuoden 2007 maaliskuu oli Month of PHP Bugs. Se keskittyi itse PHP-ohjelmointikielestä löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 44 kappaletta, joista 3 oli PHP-ohjelmontikielen ulkopuolisissa, mutta siihen liittyvissä komponenteissa. Haavoittuvuuksista 16 oli potentiaalisesti etäkäyttöisesti hyväksikäytettäviä ja lähes kaikki paikallisesti hyväksikäytettäviä. Osa haavoittuvuuksista on korjattu jo PHP 4.4.5, 4.4.6 ja 5.2.1 -julkaisuissa ja osa uusimmissa, vielä julkaisematta olevissa, versioissa. Viisi haavoittuvuutta on edelleen ilman vahvistettua korjausta. Uusimpia PHP-versioita koskevia vakavina pidettäviä haavoittuvuuksia on kaksi kappaletta.

Month of PHP Bugs -kampanjassa julkaistuilla haavoittuvuuksilla ei ole CVE-numeroita eikä niitä ole CVSS-pisteytetty kuin muutamassa tapauksessa, joten ei ole mielekästä laskea niille CVSS-pistekeskiarvoa. Keskiarvon otos kattaisi vain pienen osajoukon kaikista julkaistuista PHP-haavoittuvuuksista eikä siten kuvaisi riittävän hyvin haavoittuvuuksien keskimääräistä vakavuutta.

Lisätietoa

Sivua päivitetty 20.04.2007   Tulostusversio Tulostusversio