 |
Muut verkkotunnukset myös meidän kautta
Elisan ja suomalaisten pankkien nimissä kalastellaan tunnuksia
Haavoittuvuuksia Drupal-julkaisujärjestelmässä
20 03 2015
Haavoittuvuuksia OpenSSL-kirjastossa
haavoittuvuudet, opensslOpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL- (Secure Sockets Layer), TLS- (Transport Layer Security) ja DTLS- (Datagram Transport Layer Security) protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä. Päivitykset korjaavat OpenSSL-kirjastosta 12 haavoittuvuutta.
Vakavuudeltaan korkeaksi (High) luokitellun haavoittuvuuden (CVE-2015-0291) avulla on mahdollista aiheuttaa palvelimelle palvelunestotila.
Päivitysten yhteydessä aiemmin korjatun FREAK-haavoittuvuuden CVE-2015-0204 luokittelutasoa on nostettu. Kyseinen haavoittuvuus oli aiemmin luokiteltu OpenSSL:n toimesta vakavuudeltaan matalaksi, mutta heikkoja RSA-salausavaimia tuetaan luultua yleisemmin ja sen vuoksi luokittelun taso on nyt nostettu korkeaksi. Haavoittuvuuden hyväksikäyttö mahdollistaa ns. välimieshyökkäyksen (Man-in-the-Middle, MitM) tietyissä tilanteissa.
Loput haavoittuvuudet on luokiteltu kohtalaisiksi (Moderate) tai mataliksi (Low).
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
Hyökkäystapa
- Ilman kirjautumista
- Etäkäyttö
- Ilman käyttäjän toimia
Hyväksikäyttö
- Palvelunestohyökkäys
- Suojauksen ohittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
OpenSSL versiot 1.0.2, 1.0.1, 1.0.0 ja 0.9.8.
Ratkaisu- ja rajoitusmahdollisuudet:
Päivitä OpenSSL korjattuihin versioihin valmistajan ohjeiden mukaisesti.
Lisätietoa:
- https://www.openssl.org/news/secadv_20150319.txt
- CVE-2015-0204
- CVE-2015-0207
- CVE-2015-0208
- CVE-2015-0209
- CVE-2015-0285
- CVE-2015-0286
- CVE-2015-0287
- CVE-2015-0288
- CVE-2015-0289
- CVE-2015-0290
- CVE-2015-0291
- CVE-2015-0292
- CVE-2015-0293
- CVE-2015-1787
Päivityshistoria
- 20.03.2015 klo 12:12Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.