Toukokuu

29.05.2009

Verkkokauppasovellus osCommercen maksumoduuleissa haavoittuvuuksia

Verkkokauppasovelluksen kahdesta maksumoduulista on löytynyt haavoittuvuus.

Haavoittuvuudet löytyvät osCommercen kahdesta maksumoduulista, "Luottokunta v1.0"-moduulista ja "Finnish Bank Payment"-moduulista.

Moduuleissa oleva haavoittuvuus liittyy niissä tehtävään puutteelliseen maksun tarkistukseen. Haavoittuvuutta hyväksikäytettäessä maksu ei veloitu pankkitililtä tai luottokortilta maksutapahtuman yhteydessä, vaan verkkopankkisovellus erehdytetään luulemaan että maksutapahtuma on onnistunut.

CERT-FI seuraa tilannetta ja on julkaissut haavoittuvuuksista haavoittuvuustiedotteen 046/2009.

27.05.2009

Vanhoja Sun Java -versioita myös Linux-jakeluissa

Avoimen lähdekoodin Java-versiot ovat Linux-jakeluissa paremmin tuettuja

CERT-FI varoitti haavoittuvuustiedotteessa 41/2009 päivittämättömistä Sun Java-versioista Mac OS X -käyttöjärjestelmissä. Myös monet Linux-jakelut sisältävät avoimen lähdekoodin Java-versioiden, kuten OpenJDK, lisäksi Sun Java-paketit. Eri jakelujen Sun Java-paketille antama tuki kuitenkin vaihtelee. Esimerkiksi suositun Ubuntu Linux-jakelun pitkäaikaisen tuen julkaisu 8.04 LTS jakaa edelleen haavoittuvaa 1.6.0_07 Sun Java -versiota.

CERT-FI kehottaa Linux-käyttäjiä tarkastamaan asentamiensa Sun Java -järjestelmien versiot. Haavoittuvat versiot voi paikata Sunin jakamilla päivityspaketeilla, tai siirtymällä käyttämään päivitettyjä avoimen lähdekoodin Java-versioita. Internetissä levitetään myös ohjeita päivitysten asentamiseksi haavoittuviin versioihin. CERT-FI neuvoo suhtautumaan näihin ohjeisiin varauksella, sillä niiden toimivuudesta ei ole takeita.

27.05.2009

Microsoft julkaisi päivityspaketin Windows Vistaan ja Server 2008:aan

Service Pack 2 sisältää myös 37 uutta turvallisuuspäivitystä

Microsoft julkaisi eilen 26.5 päivityspaketti Service Pack 2:den Windows Vista ja Server 2008 -käyttöjärjestelmille. SP2 sisältää 690 päivitystä, joista 618:aa ei ole jaettu aikaisemmin Windowsin päivityspalvelimen kautta. Uusista päivityksistä 37 liittyy tietoturvaan.

CERT-FI suosittelee asentamaan SP2-päivitykset Vista- ja Server 2008-tietojärjestelmät mahdollisuuksien mukaan. Päivitykset tulee hakea suoraan Microsoftin sivuilta. Muualla jaeltavien päivitysten on todettu sisältävän haittaohjelmia. Päivityspaketti voi aiheuttaa ongelmia eräiden ohjelmistojen ja laitteistojen kanssa. Tarkempia tietoja mahdollisista ongelmista on saatavilla Microsoftin tiedotteissa.

20.05.2009

Murretuista www-sivustoista tullut yleinen väline haittaohjelmien levitykseen

Entistä useammin haittaohjelmia levitetään murrettujen tai haavoittuvien www-sivustojen välityksellä. Käyttäjän näkökulmasta paras suojautumiskeino on ohjelmistopäivityksistä huolehtiminen.

Noin vuosi sitten CERT-FI julkaisi Tietoturva nyt! -artikkelin, jossa kerrottiin haittaohjelmasta, joka leviää ujuttamalla haitallista sisältöä riittämättömästi suojatuille www-sivustoille. Tässä tapauksessa www-sivustoille lisätty sisältö pyrki hyväksikäyttämään www-selainten, selainlaajennusten ja muiden selaimen kautta saavutettavissa olevien sovelluksien haavoittuvuuksia. Sittemmin tästä hyökkäysmenetelmästä eli www-sivustoista, joille on tavalla tai toisella kyetty ylläpidon tietämättä lisäämään haitallista sisältöä, on tullut tavanomainen väline haittaohjelmien levityksessä.

Viime päivien aikana on uutisoitu Gumblariksi nimetystä uhasta. Myös Gumblar perustuu www-sivujen käyttöön haittaohjelman levittämisessä. Gumblarin tapauksessa www-sivustoille ujutetaan haitallista Javascript-koodia, joka ohjaa uhrin selaimen hakemaan sisältöä hyökkäystarkoituksessa laaditulta www-sivulta. Hyökkäystarkoituksessa laadittu sivusto toistaa tuttua kuviota ja yrittää hyödyntää tunnettuja selainlisäosien haavoittuvuuksia ja siten asentaa uhrin työasemaan haittaohjelman. Tähänastisissa hyökkäyksissä asentunut haittaohjelma on muun muassa pyrkinyt muuttamaan saastuneella tietokoneella tehtyjen hakukonehakujen tuloksia ja tällä tavoin houkutellut käyttäjän vierailemaan hyökkääjän haluamilla sivustoilla. Eräs Gumblar-kokonaisuuden erityispiirteistä on se, että haittaohjelma kerää saastuneesta työasemasta FTP-kirjautumisissa käytetyt tunnukset. Muun muassa kerättyjä FTP-tunnuksia taas käytetään hyväksi haitallisen sisällön lisäämiseen yhä uusille www-sivustoille. Toinen erityispiirre on se, että www-sivustoille ujutettava haitallinen sisältö vaihtelee eri sivustojen ja jopa sivuston eri sivujen välillä. Tämä tekee haitallisen sisällön etsinnästä hankalampaa. Tästä syystä sivustojen ylläpitäjien tulee kiinnittää erityistä huomioita siihen, että murretulta sivustolta tunnistetaan ja poistetetaan kaikki haitallinen sisältö. Lisäksi on tarpeellista tarkistaa, että työasemat, joilta murretun sivuston FTP-tunnuksia käytetään, eivät ole haittaohjelman saastuttamia. Gumblarin saastuttamia www-sivustoja on tavattu Suomessa hyvin vähän.

Käyttäjän näkökulmasta paras suojautumiskeino on käyttöjärjestelmän ja siihen asennettujen sovelluksien pitäminen päivitettynä uusimpaan versioon. Lisäksi www-selaimen voi pyrkiä konfiguroimaan siten, että se ei automaattisesti käsittele kaikkia sisältötyyppejä. Jos toimintojen karsiminen ei onnistu konfiguraation avulla, voi siihen käyttää myös tähän tarkoitettuja lisäosia. Molemmissa tapauksissa selaimen välityksellä ulottuvissa oleva hyökkäyspinta-ala pienenee.

18.05.2009

SQL-injektio-haavoittuvuuksia löydetty suomalaisilta www-sivustoilta

Haavoittuvuudet on raportoitu sivustojen ylläpitäjille ja sivustojen taustalla olevien julkaisujärjestelmien valmistajille korjausten tuottamista varten.

SQL-injektio-haavoittuvuuksien avulla on tyypillisesti mahdollista hankkia www-sivuston takana olevasta tietokannasta luottamuksellisia tietoja tai lisätä tietokannan kautta sivustolle ylimääräistä sisältöä. Web-sovelluksen suorittama riittävä syötteen tarkastus on oleellinen toimenpide SQL-injektio-haavoittuvuuksien ennaltaehkäisyssä. SQL-injektio-haavoittuvuudet ovat olleet Tietoturva nyt! -artikkeleiden aiheena myös aiemmin.

Viime viikon aikana CERT-FI:n tietoon saatettiin normaalia runsaammin SQL-injektiolle haavoittuvia suomalaisia www-sivustoja. Haavoittuvuudet raportoitiin vastuullisen haavoittuvuusjulkaisuprosessin periaatteiden mukaisesti. Haavoittuvuuksien yksityiskohdat on saatettu, sekä sivustojen ylläpitäjien että sivustoilla mahdollisesti käytössä olevien julkaisujärjestelmien valmistajien tietoon, jotta korjaustoimet saadaan käyntiin. Osassa tapauksista haavoittuvuudet on saatu korjattua asentamalla valmistajan jo aiemmin julkaisemat päivitykset. Mukana on ollut myös tapauksia, joihin ei ole ollut saatavilla olemassaolevaa korjausta, jolloin korjaustoimet on koordinoitu ohjelmistovalmistajan kanssa. CERT-FI:n tiedossa ei ole, että raportoituja haavoittuvuuksia olisi käytetty hyväksi tietoturvaloukkauksissa.

18.05.2009

Microsoft IIS WebDAV-haavoittuvuuden rajoittaminen

Microsoft IIS-ohjelmiston WebDAV-haavoittuvuutta voi rajoittaa poistamalla IIS:n WebDAV-palvelu käytöstä.

CERT-FI haavoittuvuustiedotteessa 038/2009 kuvattuun Microsoft IIS:n WebDAV-toteutusta koskevaan haavoittuvuuteen ei ole vielä saatavilla korjausta. Tämänhetkisten tietojen perusteella haavoittuvuuden rajoittaminen onnistuu vain kytkemällä IIS-palvelimen WebDAV pois käytöstä. Palvelun sammuttaminen ei kuitenkaan välttämättä ole käytännössä mahdollista esimerkiksi tietyissä Microsoft Sharepoint -ympäristöissä. Tapauksissa, joissa IIS:n WebDAV-palvelua ei voida kytkeä pois päältä, olisi tärkeää rajata pääsy WebDAV-palveluihin vain luotetuille verkoille, jotta julkisesta internetistä tulevat hyväksikäyttöyritykset voidaan ehkäistä mahdollisimman hyvin. CERT-FI seuraa haavoittuvuuden tilannetta ja päivittää haavoittuvuustiedotetta 038/2009, kun haavoittuvuuteen liittyvää lisätietoa tulee saataville.

08.05.2009

Microsoftilta päivitys Powerpoint-haavoittuvuuteen ensi tiistain päivityspaketissa

Päivitys huhtikuussa julkistettuun kriittiseen Powerpoint-haavoittuvuuteen tulossa ensi tiistaina

Microsoft julkaisee tiistaina 12. toukokuuta yhden kriittiseksi luokitellun päivityksen, joka koskee Powerpointin kaikkia tuettuja versioita. Alustavan tiedotteen mukaan haavoittuvuus mahdollistaa komentojen mielivaltaisen suorittamisen etäältä kohdejärjestelmässä. Päivitys saattaa vaatia järjestelmän uudelleenkäynnistyksen.

CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen (CERT-FI haavoittuvuustiedote 022/2009). CERT-FI suosittelee päivittämään haavoittuvan ohjelmiston heti päivitysten tultua saataville.