Suomalaiset löysivät vakavat xml-haavoittuvuudet
0
Suomalainen tietoturvan testaustyökaluihin erikoistunut, Oulusta lähtöisin oleva Codenomicon on havainnut haavoittuvuuksia xml-dokumenttien kirjastoissa. Ongelma koskee laajasti monenlaisia ohjelmistoja. Haavoittuvuuden selvittämistä koordinoi Suomen Viestintäviraston Cert-fi-yksikkö.
Haavoittuvuudet ovat webin standardeja kehittävän W3C:n määrittelemän xml-kielen (extensible markup language) kirjastojen toteutuksissa. Xml:ää käytetään laajasti tiedon ja dokumenttien siirtämiseen erilaisten tietojärjestelmien välillä. Siten xml-haavoittuvuudet koskevat ohjelmistoja laajasti käyttöjärjestelmästä ja verkkoympäristöstä riippumatta.
Haavoittuvia ohjelmistoja ovat Cert-fi:n mukaan ainakin Python libexpat, Apache Xerces (kaikki versiot( sekä Sunin Javasta JDK ja JRE 6 Update 14 (ja aikaisemmat versiot) sekä Sun JDK ja JRE 5.0 Update 19 (ja aikaisemmat versiot).
Suomalaiset Codenomicon-yhtiön tietoturva-asiantuntijat paljastivat xml-kirjastototeutuksissa useita haavoittuvuuksia. Cert-fi on toiminut haavoittuvuuksien korjausprosessin koordinoijana yritysten kanssa.
Palvelimia uhkaa hyökkäyskoodi tai palvelunestotila
Cert-fi:n mukaan haavoittuvuudet liittyvät odottamattomia tavuarvoja ja useita toistettuja sulkeita sisältävien xml-elementtien käsittelyyn. Se voi johtaa muistinkäsittelyn virheisiin tai päättymättömään silmukkaan.
Tietojärjestelmässä haavoittuvuus voi aiheuttaa palvelunestotilan tai jopa päästää hyökkääjän ajamaan omaa ohjelmakoodiaan kohdejärjestelmässä.
Hyväksikäyttö voi onnistua houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä haavoittuvuutta hyväksikäyttävä xml-tiedosto palvelimelle.
Tiedotteessaan Cert-fi kiittää Codenomiconin Cross-projektin Jukka Taimistoa, Tero Ronttia ja Rauli Kaksosta haavoittuvuuden raportoinnista.
Haavoittuvuuden korjaamiseen ovat osallistuneet useat ohjelmistoyhtiöt. Haavoittuvuudesta tiedotettiin julkisesti viime yönä, kun tieto oli aiemmin saatu yrityksille korjauksen tekemiseksi.
Haavoittuvuudesta on lisätietoa Codenomiconin sivuilla ja Cert-fi:n haavoittuvuustiedotteessa.
Yritysten ja viranomaisten yhteistyötä halutaan lisätä
EU-komissio on toivonut, että Euroopassa kohennettaisiin yritysten ja viranomaisten yhteistyötä ohjelmistojen haavoittuvuuksien selvittämisessä ja tiedottamisesta. Cert-fi:n ja Codenomiconin yhteistyö on esimerkki tästä.
Cert-fi on ollut myös komission kuultavana haavoittuvuuksien hallinnasta. EU-komissoon kuulemistilaisuudessa esityksen alustivat myös F-Securen edustajat ja Oulun yliopiston tietoturvatutkijat.
USA:ssa yritysten ja viranomaisten tietoturvayhteistyössä on pitkät perinteet, ja nyt myös EU yrittää ottaa asiassa aktiivisen roolin. Komission on määrä antaa tiedonanto johtopäätöksistään maaliskuun lopussa.
