 |
| Etusivu |  |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI varoitus 06/200325.1.2003 Uusi SQL-mato leviää erittäin aggressiivisesti25.1. on havaittu leviämässä erittäin aggressiivisesti uusi Sapphire-nimellä kutsuttu SQL-mato. Erittäin aktiivisesta leviämismekanismista johtuen mato synnyttää valtavan määrän skannausliikennettä, mikä aiheuttaa verkon infrastruktuurille ongelmia. Eri puolilla Internetiä on havaittu laajoja palvelunestotilanteita. Madon aiheuttama liikenne kohdistuu ainakin TCP- ja UDP-porttinumeroon 1434. Mato käyttää hyväksi tunnettua Microsoft SQL -palvelinohjelmiston puskuriylivuotohaavoittuvuutta (katso CERT-FI varoitus 44/2002). Mato ei saastuta eikä käytä millään tavoin hyväksi kohdejärjestelmän kiintolevyä, vaan se toimii ainoastaan prosessina järjestelmän muistissa. VAROITUKSEN KOHDERYHMÄ:Mato kykenee saastuttamaan Microsoft SQL -palvelimia, joissa on CERT-FI varoituksessa 44/2002 mainittu haavoittuvuus. RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Uudelleen käynnistä ja PÄIVITÄ haavoittuva tietojärjestelmä Microsoft tietoturvatiedotteen MS02-039 mukaisesti: http://www.microsoft.com/technet/security/bulletin/MS02-039.asp Pelkkä uudelleenkäynnistäminen puhdistaa saastuneen tietojärjestelmän, mutta aggressiivisen leviämismenetelmän johdosta mato saastuttaa välittömästi haavoittuvan tietojärjestelmän. Ne Microsoft SQL -palvelimet, joiden päivittäminen ei ole mahdollista, tulee välittömästi poistaa avoimesta verkosta tai estää pääsy niihin palomuurin avulla. Yleisohjeena CERT-FI suosittelee edellä mainitun päivityksen lisäksi myös kaikkien uusimpien Microsoft SQL-palvelimien turvallisuuspäivitysten asentamista. LISÄTIETOA:http://isc.incidents.org/analysis.html?id=180 http://www.eeye.com/html/Research/Flash/AL20030125.html http://www.f-secure.fi/v-descs/mssqlm.shtml PÄIVITYSHISTORIA:25.01.2003: Julkaistu
|
|
