Nokian palvelinohjelma vuotaa
0
Intellisync Mobile Suite tuo kalenterit, yhteystiedot ja sähköpostit kännykkään.
Nokian mobiilitoimisto-ohjelmisto Intellisync Mobile Suitessa on paljastunut haavoittuvuus, jonka tietoturvayhtiöt ovat luokitelleet keskivakavasta vakavaksi. Haavoittuvuuden paljasti pieni itävaltalainen tietoturvakonsulttien yhtiö, mutta myös arvostettu Secunia on luokitellut aukon kriittiseksi.
Haavoittuvuuden löytänyt Sec Consult -yhtiön konsultti Johannes Greil raportoi haavoittuvuudesta sivuillaan. Yhtiö raportoi ilmoittaneensa asiasta ensin Novellille, joka kuitenkin katsoi palvelinohjelmiston vian kuuluvan Nokian korjattavaksi.
Haavoittuvuus liittyy Intellisync Mobile Suiten mukana tulevaan Apache Tomcat v5.0.25 -ohjelmistoon, jonka turva-aukon takia hyökkääjä pääsee näkemään palvelimelta tiedostoja ja hakemistossa /usrmgr/ olevat käyttäjätunnukset. Sec Consultin mukaan hyökkääjä voi estää käyttäjien pääsyn järjestelmään. Lisäksi joidenkin asp-skriptien avulla on mahdollista ajaa palvelimella skriptejä palvelinten välillä.
Nokia on Sec Consultin mukaan vastannut, että ohjelman voi korjata päivittämällä Intellisync Mobile Suiten uusimpaan gms2-versioon. Myös Tomcat-ohjelmiston manuaalinen päivittäminen voi korjata vian. Haavoittuvuus koskee Intellisync Mobile Suiten versioita 6.4.31.2, 6.6.0.107 ja 6.6.2.2. Sen on epäilty koskevan myös Intellisync Wireless Email Express -sovellusta.
Nokia lupaa lisätietoja
Nokian mukaan haavoittuvuus on korjattu ohjelmiston uusimmassa versiossa, mutta ainakin tietoturvayhtiö Secunia luokittelee sen edelleen korjaamattomaksi. Myös ranskalainen Frsirt varoittaa keskitason riskistä.
Haavoittuvuus tuli julki Sec Consultin sivuilla ensimmäisen kerran jo 9. toukokuuta. Tietokone-lehti pyysi heti keskiviikkona Nokian kommenttia asiaan siitä, missä mahdollinen haavoittuvuus on tai mitä toimia se vaatisi.
Yhtiöstä ei maanantaiaamuun mennessä pystytty vastaamaan edes siihen, onko haavoittuvuus olemassa tai vaatiiko se asiakkailta toimia. Asiaa on selvitetty Nokian omistaman Intellisyncin päässä Yhdysvalloissa. Nokia on luvannut lisätietoja myöhemmin tänään.
