Tietoturva nyt!

8.7.2008

Nimipalveluhaavoittuvuus vaikuttaa poikkeuksellisen laajakirjoisesti

Tiistaina 8.7 julkaistiin tietoja merkittävästä haavoittuvuudesta nimipalvelutoteutuksissa.

CERT-FI haavoittuvuustiedotteessa 088/2008 käsitelty nimipalvelun haavoittuvuus on ehkä eräs monivaikutteisimmista haavoittuvuustapauksista viime vuosien aikana. Toimiva, oikeita vastauksia antava nimipalvelu on eräs tärkeimmistä internet-peruspalveluista. Nimipalvelu (DNS, Domain Name Service) ohjaa mm. www-sivujen domainnimien muunnosta IP-osoitteiksi sekä sähköpostin reititystä. Nimipalvelun virheellinen toiminta voi helposti jäädä huomaamatta - www-selain ei anna varoitusta jos salaamaton sivulataus ohjautuukin vihamieliselle palvelimelle.

Nimipalvelun toiminnassa tarvittavia ohjelmisto-osia on käytännössä kaikissa verkon osissa työasemista palvelimiin. Myös reitittimissä, palomuureissa, roskapostisuodattimissa - kaikissa verkkkokomponenteissa joiden täytyy pystyä muuntamaan domainnimi verkko-osoitteeksi - on jonkinlainen DNS-toiminto. Tämänhetkisten tietojen perusteella lähes kaikki nämä ohjelmistot vaativat lähiviikkojen aikana päivityksen. Etenkin kaikki palveluntarjoajien ja yritysten resolver-nimipalvelimet on ehdottomasti tarkistettava ja tarvittaessa päivitettävä.

Haavoittuvuuteen liittyvien ohjelmistopäivitysten koordinointi on hoidettu ohjelmisto- ja laitevalmistajien keskuudessa esimerkillisen hyvin. Tieto on pysynyt pienessä piirissä ennen sovittua julkaisuhetkeä ja kaikki tärkeimmät ohjelmistot ovat todennäköisesti saaneet tarvittavat päivitykset. Sulautettujen järjestelmien päivitystarve on mielenkiintoinen selvitettävä kysymys. CERT-FI tulee seuraamaan päivitystilannetta tiiviisti.

Haavoittuvuuden hyödyntämismenetelmä tulee todennäköisesti julkisuuteen kuukauden sisällä. Jos haavoittuvuuden hyväksikäytöstä tulee viitteitä, olemme varautuneet julkaisemaan vuoden ensimmäisen CERT-FI-varoituksen.

Lisätietoa

• CERT-FI -haavoittuvuustiedote 088/2008
  

Sivua päivitetty 08.07.2008

Tulostusversio