Tietoturva nyt!

19.10.2007

Salasanatiedostotapaus - tilannepäivitys 19.10.

On käynyt ilmi, että osa salasanatiedostotapauksen alkuvaiheessa julkisuuteen toimittamistamme hyödynnettyjä haavoittuvuuksia koskevista tiedoista oli puutteellisia tai jopa virheellisiä. Tapauksen tutkinnan myöhemmässä vaiheessa on osoittautunut, että aikaisemmin luultua useammassa tapauksessa on hyödynnetty muita kuin järjestelmän pohjana olevassa web-foorumisovelluksessa (CERT-FI:n mainitsemat phpBB, Wordpress, SMF) olleita haavoittuvuuksia. Useissa murtotapauksissa on mitä ilmeisimmin hyödynnetty ylläpitäjien itse kehittämissä lisäkomponenteissa tai kolmannen osapuolen tuottamissa komponenteissa olleita käyttäjän antaman syötteen puutteelliseen tarkistukseen liittyviä haavoittuvuuksia.

Omien havaintojemme ja meille toimitettujen tietojen mukaan Suomesta löytyy kuitenkin lukuisia päivittämättömiä ja siksi haavoittuvia yhteisöpalveluohjelmistoja. Www-sovellusten säännöllinen päivittäminen uusimpaan julkaistuun versioon on tärkeää haavoittuvuusriskin minimoimiseksi. Aktiivisesti kehitettävien www-sovellusten uusimmissa versioissa on nykyään harvoin julkisesti tiedossa olevia haavoittuvuuksia.

Lisätietoa

Sivua päivitetty 19.10.2007

Tulostusversio

Tuoreimmat kirjoitukset:

Tänään vietetään Tietoturvapäivää yli 60 maassa
7.2.2012
DNSChanger -haittaohjelman poistamisesta
7.2.2012
CERT-FI vuosikatsaus 2011
31.1.2012
Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä
27.1.2012
Testaa, onko koneessasi DNSChanger-haittaohjelma
19.1.2012
Keskusrikospoliisi tutkii tietomurtoja
13.1.2012
CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty
13.1.2012
Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena
12.1.2012
Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa
12.1.2012
Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti
4.1.2012