 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturva nyt!18.5.2009 SQL-injektio-haavoittuvuuksia löydetty suomalaisilta www-sivustoiltaHaavoittuvuudet on raportoitu sivustojen ylläpitäjille ja sivustojen taustalla olevien julkaisujärjestelmien valmistajille korjausten tuottamista varten. SQL-injektio-haavoittuvuuksien avulla on tyypillisesti mahdollista hankkia www-sivuston takana olevasta tietokannasta luottamuksellisia tietoja tai lisätä tietokannan kautta sivustolle ylimääräistä sisältöä. Web-sovelluksen suorittama riittävä syötteen tarkastus on oleellinen toimenpide SQL-injektio-haavoittuvuuksien ennaltaehkäisyssä. SQL-injektio-haavoittuvuudet ovat olleet Tietoturva nyt! -artikkeleiden aiheena myös aiemmin. Viime viikon aikana CERT-FI:n tietoon saatettiin normaalia runsaammin SQL-injektiolle haavoittuvia suomalaisia www-sivustoja. Haavoittuvuudet raportoitiin vastuullisen haavoittuvuusjulkaisuprosessin periaatteiden mukaisesti. Haavoittuvuuksien yksityiskohdat on saatettu, sekä sivustojen ylläpitäjien että sivustoilla mahdollisesti käytössä olevien julkaisujärjestelmien valmistajien tietoon, jotta korjaustoimet saadaan käyntiin. Osassa tapauksista haavoittuvuudet on saatu korjattua asentamalla valmistajan jo aiemmin julkaisemat päivitykset. Mukana on ollut myös tapauksia, joihin ei ole ollut saatavilla olemassaolevaa korjausta, jolloin korjaustoimet on koordinoitu ohjelmistovalmistajan kanssa. CERT-FI:n tiedossa ei ole, että raportoituja haavoittuvuuksia olisi käytetty hyväksi tietoturvaloukkauksissa.
|
Tuoreimmat kirjoitukset:
|
