Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2002 > CERT-FI varoitus 40/2002

CERT-FI varoitus 40/2002

1.7.2002

Apache-haavoittuvuutta hyödyntävä mato-ohjelma ”Scalper”

Scalper on matto-haittaohjelma, joka hyödyntää äskettäin raportoitua (CERT-FI –varoitus 2002-36) Apache WWW-palvelinohjelmiston ”chunked encoding” –haavoittuvuutta. Löytäessään haavoittuvan Apache-ohjelmiston, jota käytetään FreeBSD-käyttöjärjestelmällä varustetussa palvelimessa, Scalper asentuu tiedostoihin ”/tmp/.uua” ja ”/tmp/.a”. Tämän jälkeen mato-ohjelma avaa takaportin palvelimelle UDP-porttiin 2001 ja ryhtyy skannaamaan läpi ennalta määriteltyjä IP-osoiteavaruuksia. Takaportti mahdollistaa hyökkääjän oman koodin ajamisen järjestelmässä, sähköpostin lähettämisen sekä palvelunestohyökkäysten toteuttamisen.

Madon lähdekoodi on julkaistu verkossa, joten eri versioita on hyvin todennäköisesti odotettavissa. Uudet versiot voivat toimia myös muissa kuin FreeBSD-käyttöjärjestelmällä varustetuissa palvelimissa.

Mato-ohjelma tunnetaan myös mm. nimillä Ehchapa, PHP/Exploit-Apache, UNIX/Exploit-Apache, ELF_SCALPER.A

CERT-FI suosittelee Apache WWW-palvelimien päivittämistä viipymättä uusimpaan ohjelmistoversioon.

VAROITUKSEN KOHDERYHMÄ:

Varoitusta kirjoitettaessa: FreeBSD-käyttöjärjestelmällä varustetut Apache-palvelimet Apache-ohjelmistoversioilla 1.2-1.3.24, 2-2.0.36. Koska Scalper mato-ohjelmiston lähdekoodi on julkaistu Internetissä, on odotettavissa matoversioita jotka toimivat eri käyttöjärjestelmillä.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Apache WWW-palvelinohjelmisto vähintään versioon 1.3.26 tai 2.0.39.

LISÄTIETOA:

http://www.europe.f-secure.com/v-descs/scalper.shtml
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2002-36.htm
http://httpd.apache.org/info/security_bulletin_20020620.txt

PÄIVITYSHISTORIA:

01.07.2002: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio