Tietoturva nyt!

22.7.2010

OpenLDAP-hakemistopalvelun heikkouksia korjattiin haavoittuvuuskoordinaatioprojektissa

Projektin tuloksena korjattiin kaksi haavoittuvuutta OpenLDAP-hakemistopalvelussa. Toinen haavoittuvuuksista voi mahdollistaa hyökkääjän ohjelmakoodin suorituksen.

CERT-FI julkaisi tänään tiedotteen haavoittuvuuskoordinointiprojektin tuloksista. Haavoittuvuudet koskevat yleisesti käytössä olevaa avoimen lähdekoodin OpenLDAP-hakemistopalvelua. LDAP (Lightweight Directory Access Protocol) on hakemistoprotokolla, jonka yleisin käyttötarkoitus on keskitetty käyttäjien todennus useita koneita käsittävissä tietoverkoissa.

LDAP-hakemistopalvelin on useiden verkkojen kannalta kriittinen komponentti. Käyttäjien todennus on keskeinen toiminto verkon toiminnan kannalta. Hakemistopalvelimelle voi myös olla pääsy suoraan internetistä, esimerkiksi kun hakemistoa käytetään osoitekirjatoimintoihin tai varmenteiden välittämiseen organisaation ulkopuolelle. Nyt korjattujen haavoittuvuuksien vakavuutta korostaa lisäksi se, että niiden hyväksikäyttö ei vaadi kirjautumista OpenLDAP-hakemistopalvelimelle.

CERT-FI on koordinoinut heikkouksien julkaisun haavoittuvuuden löytäjän kanssa ja korjaukset heikkouden sisältävien tuotteiden valmistajien kanssa. Korjauksia on saatavilla OpenLDAP-projektin sivuilla ja eri ohjelmistojakeluissa.

Lisätietoa

• CERT-FI haavoittuvuustiedote 112/2010: Haavoittuvuuksia OpenLDAP-hakemistopalvelussa
• CERT-FI Advisory on OpenLDAP