Tietoturva nyt!

11.9.2008

Useat PHP-pohjaiset web-sovellukset haavoittuvia

Syynä haavoittuvuuksiin on puutteellisen satunnaisuuden käyttö.

Ainakin WordPress-, Joomla- ja Simple Machines -julkaisualustoissa on todettu samanlainen, halutun käyttäjätunnuksen kaappaamisen mahdollistava haavoittuvuus. Haavoittuvuus liittyy PHP-kielen pseudosatunnaislukufunktioiden virheelliseen käyttöön, joka voi mahdollistaa esimerkiksi järjestelmän luoman sessiotunnisteen tai satunnaisen salasanan selvittämisen.

Tietoturvatutkija Stefan Esserin blogikirjoituksessaan esille tuoma ohjelmistovirhe voi osoittautua vielä yleisemmäksikin. CERT-FI kehottaa ylläpitäjiä päivittämään julkaisualustansa, ja seuraamaan ylläpitämiinsä PHP-ohjelmistoihin liittyviä tietoturvatiedotteita. Alttiimpina haavoittuvuudelle ovat rajoittamattoman käyttäjäksi rekisteröitymisen sallivat web-sovellukset.

Lisätietoa

• Haavoittuvuustiedote 114/2008
  
• http://www.joomla.org/announcements/release-news/5212-joomla-157-security-release-now-available.html
• http://www.simplemachines.org/community/index.php?P=4c72ad1a8a18d7c41b32af3aa5096b22&topic=260145.0
• http://www.suspekt.org/2008/08/17/mt_srand-and-not-so-random-numbers/
  

Sivua päivitetty 11.09.2008

Tulostusversio