Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2009 > Syyskuu

Syyskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

28.09.2009

Metasploitiin lisätty moduuli SMBv2-haavoittuvuudelle

Metasploit-työkaluun on lisätty Microsoftin SMBv2-protokollan haavoittuvuutta hyväksikäyttävä moduuli

Microsoftin SMBv2 protokollasta löytynyttä haavoittuvuutta hyväksikäyttävä moduuli on lisätty Metasploitiin. SMBv2 protokollaa käytetään uudemmissa Windows-käyttöjärjestelmissä, Windows Vistassa ja Windows Server 2008:ssa levy- ja tulostinjakojen tarjoamiseen.

Microsoft on julkaissut ongelman kiertomenetelmiä sekä Fix It-työkalun, jolla SMB-protokollan version 2 saa pois käytöstä. Lisätietoja Fix It-työkalusta sekä ongelman kiertomenetelmiä löytyy Microsoftin tietoturvatiedotteesta. Haavoittuvuudelle ei ole toistaiseksi julkaistu
virallista korjausta.

CERT-FI on julkaissut 9.9.2009 haavoittuvuutta koskevan haavoittuvuustiedotteen 086/2009.

22.09.2009

XML- ja TCP-haavoittuvuuskoordinointiprojektien tiedotteita päivitetty

CERT-FI:n viimeisimpien haavoittuvuuskoordinointiprojektien tiedotteisiin on tullut täydennyksiä haavoittuvien valmistajien osalta.

CERT-FI julkaisi taannoin kahden pitkään kestäneen haavoittuvuuskoordinointiprojektin tuloksia. Projektit liittyivät yleisesti ohjelmistoissa käytettyihin XML- ja TCP-tekniikoihin. Molemmissa tapauksissa oli kyse varsin laajavaikutteisista haavoittuvuusjulkaisuista. Laajavaikutteisten haavoittuvuustapausten yhteydessä on tavallista, että haavoittuvuuskoordinointia tehneen tahon koontitiedotteet päivittyvät haavoittuvien ohjelmistojen osalta myös varsinaisen julkaisun jälkeen. Myös CERT-FI:n XML- ja TCP-tapauksien tiedotteita on päivitetty niiden varsinaisen julkaisun jälkeen. Seuraavassa yhteenveto tehdyistä päivityksistä.

XML-haavoittuvuuksista julkaistiin 6.8. CERT-FI haavoittuvuustiedote 073/2009. Haavoittuvuustiedotteen päivittymistä on seurattu myös kahdessa Tietoturva nyt! -artikkelissa. Uusimpina lisäyksinä haavoittuvuustiedotteeseen on lisätty 17.9. maininta korjauksesta haavoittuvaa libxml2-versiota käyttäneeseen Google Chrome -selaimeen ja 22.9. maininta libxml2-haavoittuvuuteen liittyvistä OpenSUSE, OpenOffice ja StarOffice -korjauksista.

TCP-haavoittuvuuksiin liittyen CERT-FI on julkaissut 8.9. CERT-FI haavoittuvuustiedotteen 084/2009 sekä suomen- ja englanninkieliset tiedotteet:

http://cert.fi/haavoittuvuudet/2008/tcp-haavoittuvuudet.html

http://cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html

TCP-koordinointiprojektin julkaisun jälkeen edellä mainittuja tiedotteita on päivitetty viittauksilla Sun Microsystemsin (10.9.), Wind Riverin (15.9.), Fortinetin (18.9.) ja Aruba Networksin (22.9.) aiheesta julkaisemiin tiedotteisiin.

08.09.2009

The results of the TCP vulnerability coordination project have been released

CERT-FI has published an advisory on the vulnerability coordination project regarding TCP protocol implementations. The coordination work started on August 2008.

Outpost24 reported a set of vulnerabilities in TCP implementations to CERT-FI in August 2008. CERT-FI has contacted possibly affected vendors and coordinated the patch release as well as research on the impact oft he vulnerability. Now, over a year after the coordination work started, patches have been made available. There are patches and advisories available from, e.g., Microsoft, Cisco and Checkpoint.

There is also a press release available on the issue: http://www.ficora.fi/en/index/viestintavirasto/lehdistotiedotteet/2009/P_22.html

CERT-FI has been following the coordination developments on its statement on the TCP issues: https://www.cert.fi/haavoittuvuudet/2008/tcpvulnerabilitiesstatement.html

08.09.2009

TCP-haavoittuvuuksien koordinointiprojektin tulokset julkaistu

CERT-FI on julkaissut tiedotteen elokuussa 2008 alkaneen, TCP-toteuksia koskevan haavoittuvuuskoordinointiprojektin johdosta.

Outpost24-tietoturvayhtiö raportoi CERT-FI:lle TCP-toteutuksiin liittyviä haavoittuvuuksia elokuussa 2008. CERT-FI on koordinoinut haavoittuvuuksien vaikutuksien selvittämistä ja korjauksia haavoittuvuuden löytäjän ja ohjelmistovalmistajien välillä. Nyt, hieman yli vuoden koordinointityön jälkeen, korjauksia on saatavilla. Useat ohjelmistovalmistajat ovat julkaisseet ohjelmistokorjauksia ja aiheeseen liittyviä tiedotteita. Korjauksia julkaisseiden valmistajien joukossa on muun muassa Microsoft, Cisco ja Checkpoint.

Aiheesta on julkaistu myös lehdistötiedote, joka löytyy osoitteesta http://www.ficora.fi/index/viestintavirasto/lehdistotiedotteet/2009/P_32.html

CERT-FI on seurannut koordinointiprojektin etenemistä lausunnossaan, joka on siirretty osoitteeseen:

https://www.cert.fi/haavoittuvuudet/2008/tcphaavoittuvuudetlausunto.html

05.09.2009

Hyökkäyksiä Microsoft IIS FTP-palvelimiin

Microsoftin mukaan on havaittu, että IIS FTP-palvelimessa olevaa haavoittuvuutta käytetään jo hyväksi hyökkäyksissä.

Haavoittuvuutta hyväkseen käyttävä ohjelmakoodi, jota voi käyttää palvelimelle hyökkäämiseen, on ollut julkisesti saatavilla jo jonkin aikaa.

Palvelimen haavoittuvuus mahdollistaa hyökkääjän ohjelmakoodin suorittamisen. Haavoittuvuuteen ei ole vielä korjaavaa ohjelmistopäivitystä. Murtautumisyrityksiltä voi yrittää suojautua rajoittamalla pääsyä FTP-palvelimelle ja kieltämällä anonyymit kirjautumiset palvelimelle.

04.09.2009

XML-haavoittuvuuskoordinointiprojektin tuloksia nähtävissä

Applen Java-päivitys korjaa myös CERT-FI:n XML-haavoittuvuuskoordinointiprojektissa mukana olleen haavoittuvuuden. Applen päivitys ei varsinaisesti koskenut XML:ää, vaikka korjatut Java for Mac OS X -versiot sisälsivätkin korjatun version haavoittuvasta kirjastosta.

Sun käyttää Java-toteutuksessaan XML-rakenteiden käsittelyyn Xerces2-Java XML-kirjastoa. Yksi CERT-FI:n taannoin koordinoimista XML-kirjastohaavoittuvuuksista (CVE-2009-2625) koski juuri Xerces-Javaa. Haavoittuvuuteen julkaistiin korjaus Xerces-Java kirjaston valmistajan Apachen korjaus ja Sunin korjattu Java-versio samanaikaisesti CERT-FI:n haavoittuvuustiedotteen julkistamisen kanssa. Eilen julkaistu Java for Mac OS X Update 5 -päivityspaketti sisältää Applen korjauksen kyseiseen haavoittuvuuteen.

Erityisesti ohjelmistokirjastoihin liittyvien haavoittuvuuksien koordinoinnille on tyypillistä, että korjattua kirjastoa käyttävistä sovelluksista julkaistaan korjauksen sisältäviä versioita varsinaisen korjauksen julkaisun jälkeen. Tämä johtuu muun muassa siitä, että joissakin sovelluksissa hyödynnettyjen kirjastojen lähdekoodia on sisällytetty suoraan mukaan sovelluksen lähdekoodiin tai kirjasto on linkitetty sovellukseen staattisesti. XML-haavoittuvuuskoordinointiprojektissa ollaan tällä hetkellä vaiheessa, jossa haavoittuvia kirjastoja käyttäviin sovelluksiin julkaistaan korjauksia.

Haavoittuvuuden korjaushistoria on toistaiseksi seuraava:

  • 6.8. julkaistiin tiedote Xercec Java ja Xerces C++ -kirjastojen korjauksista.
  • 10.8. lisättiin tieto OpenJDK-ohjelmointiympäristön Xerces Java-kirjaston korjauksesta sekä libxml2-kirjaston korjauksista
  • 11.8. Debian Linux-jakelija julkaisi korjauksia libxml2-kirjastoon.
  • 12.8. Red Hat ja Ubuntu Linux-jakelijat julkaisivat korjauksensa libxml2 ja Xerces C++ -kirjastoihin.
  • 13.8. Mandriva Linux-jakelija julkaisivat korjauksensa libxml2-kirjastoon.
  • 25.8. Tiedotetta päivitettiin Python-projektin libexpat-kirjaston korjausten osalta.
  • 4.9. Apple julkaisi päivitykset Sun Java Xerces -kirjastoon.

04.09.2009

Microsoftilta tulossa viisi tietoturvapäivitystä

Microsoft julkaisee tiistaina 8.9. viisi tietoturvapäivitystä joilla korjataan kriittisiä haavoittuvuuksia useissa käyttöjärjestelmäversioissa, Windows 2000:sta Windows Server 2008:aan.

Viidellä tietoturvapäivityksellä paikataan kriittiseksi luokiteltuja haavoittuvuuksia Microsoftin eri käyttöjärjestelmäversiossa. Päivitykset voivat vaatia tietokoneen tai palvelimen käynnistämistä uudelleen. Päivityspaketti ei sisällä ennakkotietojen mukaan korjausta Microsoftin Internet Information Servicesin (IIS) FTP-palvelimen haavoittuvuudelle.

CERT-FI julkaisee haavoittuvuuksista haavoittuvuustiedotteen.

01.09.2009

Haavoittuvuudesta Microsoftin IIS FTP-palvelimessa

Microsoftin IIS-palvelimesta on löytynyt haavoittuvuus jonka avulla käyttäjä voi suorittaa palvelimella mielivaltaisia komentoja, eikä haavoittuvuuteen toistaiseksi ole saatavilla korjausta. Kyseessä on siis niin sanottu 0day remote code execution-haavoittuvuus.

Microsoftin IIS-palvelimesta on löytynyt haavoittuvuus, jolle on julkaistu hyväksikäyttömenetelmä, eikä haavoittuvuudelle ole toistaiseksi korjaavaa ohjelmistopäivitystä. Haavoittuvuutta vastaan julkaistun hyväksikäyttömenetelmän lähdekoodista on luettavissa, että haavoittuvuus toimisi myös IIS6:n FTP-palvelinta vastaan. IIS6 on Windows Server 2003:n IIS-palvelin, eikä lähdekoodissa mainita kuin Windows Server 2000, johon on asennettu Service Pack 4.

Onnistunut hyväksikäyttö vaatii tietyn IIS-palvelimen version ja käyttöjärjestelmän lisäksi myös käyttäjätilin IIS:n FTP-palvelimelle. Haavoittuvuutta vastaan voi yrittää suojautua kahdella menetelmällä, kieltämällä anonyymit kirjautumiset FTP-palvelimelle, sekä rajoittamalla pääsyä FTP-palvelimelle esimerkiksi tiukentamalla palomuurin sääntöjä.

CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen 082/2009.