Haavoittuvuus koskee Windows IIS-palvelinohjelmiston lisäksi kaikkia HTTP.sys-kirjastoa käyttäviä sovelluksia, kuten kuluttajien suosimia DLNA-tiedostojenjakopalveluja, jos ne ovat avoinna internetiin.

Internetissä on julkistettu hyödyntämismenetelmiä, jolla on mahdollista saattaa HTTP.sys -kirjastoa käyttävät Windows-käyttöjärjestelmät palvelunestotilaan. Kyberturvallisuuskeskuksen tietojen mukaan palvelunesto on todennettu käytännössä, vaikkakin monet tutkijat ovat raportoineet, ettei haavoittuvuuden hyväksikäyttö onnistu.

HTTP.sys -kirjastoa käytetään IIS-palvelinohjelmiston lisäksi ainakin kuluttajien usein hyödyntämissä Windows DLNA-tiedostojenjakopalveluissa sekä joissain etähallintakäyttöliittymissä. Haavoittuvuuden hyödyntäminen edellyttää, että palveluun on pääsy internetistä.

Microsoftin tiedotteen mukaan haavoittuvuus mahdollistaa myös komentojen mielivaltaisen suorittamisen. Tästä ei ole toistaiseksi ole nähty valmiita hyödyntämismenetelmiä internetissä.

Kyberturvallisuuskeskus ei toistaiseksi ole havainnut haavoittuvuuden hyödyntämisyrityksiä.

Kyberturvallisuuskeskus kehottaa päivittämään verkkoon kytketyt Windows-käyttöjärjestelmät välittömästi, ennen kuin haavoittuvuuden hyödyntäminen yleistyy.

Varoituksen kohderyhmä

Haavoittuva kirjasto löytyy käyttöjärjestelmistä Windows Server 2008, Windows Server 2012, Windows 7 ja Windows 8.x.

Haavoittuvuus edellyttää, että käyttöjärjestelmässä on internetiin avoinna oleva HTTP.sys-kirjastoa hyödyntävä palvelu, kuten IIS-palvelinohjelmisto tai DLNA-tiedostojenjakopalvelu.

Ratkaisu- ja rajoitusmahdollisuudet

Asenna Microsoftin tarjoama huhtikuun päivityspaketti (MS15-APR)

https://technet.microsoft.com/library/security/ms15-apr

Jos päivitysten asentaminen heti ei ole mahdollista, Microsoftin tiedotteessa on mainittu myös mahdollinen tapa rajoittaa ongelmaa kytkemällä IIS:n kernel-välimuistin käytön pois päältä. Tämä ei kuitenkaan auta esimerkiksi DLNA-palveluun.

Lisätietoa

Microsoft Security Bulletin Summary for April 2015

Microsoft Security Bulletin MS15-034 - Critical

Haavoittuvuus 033/2015

Windows-palvelimien HTTP.sys-haavoittuvuuteen on julkisia hyväksikäyttötapoja (Tietoturva nyt! 16.4.2015)

Oracle on julkaissut huhtikuun 2015 ohjelmistopäivityksensä (Critical Patch Update). Päivitykset sisältävät muun muassa 14 korjausta Java SE -ohjelmistoon, 26 korjausta Oracle MySQL:ään, 17 korjausta Oracle Fusion Middlewareen ja neljä korjausta Oracle Databaseen.

Huhtikuun päivityspaketti sisältää yhteensä 98 korjauspäivitystä lukuisiin Oraclen tuotteisiin. Useita kymmeniä korjattuja havoittuvuuksia voidaan hyväksikäyttää verkon kautta ilman kirjautumista. Haavoittuvat ympäristöt on syytä päivittää heti kun mahdollista.

Tarkemmat tiedot korjauspäivityksistä on saatavilla Oraclen tiedotteesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Oracle Database Server, versiot 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2
• Oracle Fusion Applications, versiot 11.1.2 - 11.1.9
• Oracle Access Manager, versiot 11.1.1.5, 11.1.1.7
• Oracle Exalogic Infrastructure, versiot 1.x, 2.x
• Oracle GlassFish Server, versiot 2.1.1, 3.0.1, 3.1.2
• Oracle GoldenGate Monitor, versiot 11.1.2.1.0
• Oracle iPlanet Web Proxy Server, versiot 4.0
• Oracle iPlanet Web Server, versiot 6.1, 7.0
• Oracle OpenSSO, versio 3.0-04
• Oracle Outside In Technology, versiot 8.4.1, 8.5.0, 8.5.1
• Oracle WebCenter Portal, versiot 11.1.1.8.0
• Oracle WebCenter Sites, versiot 7.6.2, 11.1.1.6.1, 11.1.1.8.0
• Oracle WebLogic Server, versiot 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0
• Oracle Hyperion BI+, versiot 11.1.2.2, 11.1.2.3
• Oracle Hyperion Smart View for Office, versiot 11.1.2.x
• Enterprise Manager Base Platform, versiot MOS 12.1.0.5, MOS 12.1.0.6
• Application Management Pack for Oracle E-Business Suite, versiot AMP 121020, AMP 121030
• Oracle E-Business Suite, versiot 11.5.10.2, 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4
• Oracle Agile Engineering Data Management, versiot 6.1.3.0
• Oracle Demand Planning, versiot 11.5.10, 12.0, 12.1, 12.2
• Oracle Transportation Management, versiot 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6
• PeopleSoft Enterprise PeopleTools, versiot 8.53, 8.54
• PeopleSoft Enterprise Portal Interaction Hub, versiot 9.1.0
• PeopleSoft Enterprise SCM Strategic Sourcing, versiot 9.1, 9.2
• JD Edwards EnterpriseOne Technology, versio 9.1
• Siebel Applications, versiot 8.1, 8.2
• Oracle Commerce Guided Search/Oracle Commerce Experience Manager, versiot 3.x, 11.x
• Oracle Commerce Platform, versiot 9.4, 10.0, 10.2
• Oracle Retail Back Office, versiot 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0, 14.1
• Oracle Retail Central Office, versiot 13.1, 13.2, 13.3, 13.4, 14.0, 14.1
• Oracle Argus Safety, versio 8.0
• Oracle Knowledge, versiot 8.2.3.10.1, 8.4.7.2
• Oracle Java FX, versio 2.2.76
• Oracle Java SE, versiot 5.0u81, 6u91, 7u76, 8u40
• Oracle JRockit, versio R28.3.5
• Cisco MDS Fiber Channel Switch, versiot 5.2, 6.2
• Oracle VM Server for SPARC, versiot 3.1, 3.2
• Solaris, versiot 10, 11.2
• MySQL Connectors, versiot 5.1.34 ja aiemmat versiot
• MySQL Enterprise Monitor, versiot 2.3.19 ja aiemmat versiot, 3.0.18 ja aiemmat versiot
• MySQL Server, versiot 5.5.42 ja aiemmat versiot, 5.6.23 ja aiemmat versiot
• MySQL Utilities, versiot 1.5.1 ja aiemmat versiot
• SQL Trace Analyzer, ennen versiota 12.1.11

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Java:n käyttäjät voivat varmistaa käytössä olevan versionsa osoitteessa http://java.com/en/download/installed.jsp Kotitietokoneiden tai työasemien Java-ajoympäristön (Java JRE) tai Java JDK:n käyttäjät voivat käyttää Javan automaattipäivitystoimintoa tai ladata uuden version Oraclen sivuilta osoitteesta http://www.oracle.com/technetwork/java/javase/downloads/index.html.

Lisätietoa:

•  
• http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
• https://blogs.oracle.com/security/
•  
•  
• CVE-2013-4286, CVE-2013-4545, CVE-2014-0050, 
• CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, 
• CVE-2014-0116, CVE-2014-1568, CVE-2014-3566, 
• CVE-2014-3569, CVE-2014-3570, CVE-2014-3571,
• CVE-2014-3572, CVE-2014-7809, CVE-2014-8275, 
• CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, 
• CVE-2015-0235, CVE-2015-0405, CVE-2015-0423, 
• CVE-2015-0433, CVE-2015-0438, CVE-2015-0439,
• CVE-2015-0440, CVE-2015-0441, CVE-2015-0447, 
• CVE-2015-0448, CVE-2015-0449, CVE-2015-0450, 
• CVE-2015-0451, CVE-2015-0452, CVE-2015-0453, 
• CVE-2015-0455, CVE-2015-0456, CVE-2015-0457,
•  
•  
• CVE-2015-0458, CVE-2015-0459, CVE-2015-0460, 
• CVE-2015-0461, CVE-2015-0462, CVE-2015-0463, 
• CVE-2015-0464, CVE-2015-0465, CVE-2015-0466, 
• CVE-2015-0469, CVE-2015-0470, CVE-2015-0471,
• CVE-2015-0472, CVE-2015-0473, CVE-2015-0474, 
• CVE-2015-0475, CVE-2015-0476, CVE-2015-0477, 
• CVE-2015-0478, CVE-2015-0479, CVE-2015-0480, 
• CVE-2015-0482, CVE-2015-0483, CVE-2015-0484,
• CVE-2015-0485, CVE-2015-0486, CVE-2015-0487, 
• CVE-2015-0488, CVE-2015-0489, CVE-2015-0490, 
• CVE-2015-0491, CVE-2015-0492, CVE-2015-0493, 
• CVE-2015-0494, CVE-2015-0495, CVE-2015-0496,
• CVE-2015-0497, CVE-2015-0498, CVE-2015-0499, 
•  
•  
• CVE-2015-0500, CVE-2015-0501, CVE-2015-0502, 
• CVE-2015-0503, CVE-2015-0504, CVE-2015-0505, 
• CVE-2015-0506, CVE-2015-0507, CVE-2015-0508,
• CVE-2015-0509, CVE-2015-0510, CVE-2015-0511, 
• CVE-2015-2565, CVE-2015-2566, CVE-2015-2567, 
• CVE-2015-2568, CVE-2015-2570, CVE-2015-2571, 
• CVE-2015-2572, CVE-2015-2573, CVE-2015-2574,
• CVE-2015-2575, CVE-2015-2576, CVE-2015-2577, 
• CVE-2015-2578, CVE-2015-2579
•  

Adobe on julkaissut päivityksen APSB15-06, jossa korjataan kriittiseksi luokiteltuja haavoittuvuuksia Adobe Flash Player -ohjelmistossa Windowsille, Macintoshille ja Linuxille. Muun muassa muistin käyttöön liittyviä haavoittuvuuksia hyväksi käyttäen hyökkääjän on mahdollista ottaa kohdejärjestelmä hallintaansa.

Adoben mukaan haavoittuvuuteen CVE-2015-3043 on olemassa tunnettu hyväksikäyttötapa. Adobe Flash Player -ohjelmisto suositellaan päivittämään uusimpaan versioon.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Luottamuksellisen tiedon hankkiminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Adobe Flash Player 17.0.0.134 ja aiemmat versiot
• Adobe Flash Player 13.0.0.277 ja aiemmat versiot
• Adobe Flash Player 11.2.202.451 ja aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuva ohjelmisto korjattuun versioon valmistajan ohjeiden mukaisesti:

• Flash Player 17.0.0.134 ja aikaisemmat (Windows, Mac) versioon 17.0.0.169 (Flash Player Download Center)
• Flash Player 11.2.202.451 ja aikaisemmat (Linux) versioon 11.2.202.457 (Flash Player Download Center)
• Flash Player (Google Chrome) 17.0.0.134 ja aikaisemmat versioon 17.0.0.169 (Google Chromen päivitysjakelu - Windows, Mac, Linux)
• Flash Player (Internet Explorer 10 ja 11) 17.0.0.134 ja aikaisemmat versioon 17.0.0.169 (Internet Explorerin päivitysjakelu - Windows 8.x)
• Adobe Flash Player Extended Support -ohjelmiston päivitys versioon 13.0.0.281 lataamalla uusi versio osoitteesta http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

Lisätietoa:

•  
• https://helpx.adobe.com/security/products/flash-player/apsb15-06.html
• CVE-2015-0346
• CVE-2015-0347
• CVE-2015-0348
• CVE-2015-0349
• CVE-2015-0350
• CVE-2015-0351
• CVE-2015-0352
• CVE-2015-0353
• CVE-2015-0354
• CVE-2015-0355
• CVE-2015-0356
• CVE-2015-0357
• CVE-2015-0358
• CVE-2015-0359
• CVE-2015-0360
• CVE-2015-3038
• CVE-2015-3039
• CVE-2015-3040
• CVE-2015-3041
• CVE-2015-3042
• CVE-2015-3043
• CVE-2015-3044
•