08.09.2009

TCP-ohjelmistohaavoittuvuudet korjattavissa

Viestintäviraston tietoturvayksikkö CERT-FI on koordinoinut ohjelmointivirheiden korjaamiseen tähtääviä toimenpiteitä yhteistyössä useiden suomalaisten ja ulkomaisten ohjelmistovalmistajien kanssa.

Tämänkertaiset ohjelmistohaavoittuvuudet liittyvät TCP-protokollan toteutuksiin eri järjestelmissä ja laitteissa. TCP (Transmission Control Protocol) on yhteysmenettely, jota käytetään tiedonsiirtoon useimmissa tietoverkon sovelluksissa, esimerkiksi www-sivujen siirrossa palvelimelta selaimelle. Tänään julkistetut korjaukset estävät haavoittuvuuksien hyväksikäytön.

Haavoittuvuudet koskettavat pääasiassa palvelinjärjestelmiä, mutta niitä on mahdollista käyttää myös työasemia vastaan. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi saattaa haavoittuvan järjestelmän niin sanottuun palvelunestotilaan. Palvelunestotilassa järjestelmä ei vastaa enää käyttäjien pyyntöihin. Esimerkiksi www-palvelimen ylläpitämille www-sivuille ei enää pääse. Joissain järjestelmissä palvelunestotilasta toipuminen vaatii käyttöjärjestelmän uudelleenkäynnistyksen.

TCP-haavoittuvuudet CERT-FI:lle raportoi ruotsalaisen Outpost24-tietoturvayhtiön Jack C. Louis ja Robert E. Lee. CERT-FI on ollut koordinoinnin aikana yhteydessä yli 60 ohjelmistovalmistajaan. Koordinointityö aloitettiin vuoden 2008 elokuussa.

CERT-FI:n tiedote haavoittuvuuksista ja niiden ratkaisumahdollisuuksista:

https://www.cert.fi/haavoittuvuudet/2008/tcp-haavoittuvuudet.html

Lisätietoja antavat:

Viestintävirasto, CERT-FI, p. 09 6966 510
CERT-FI-yksikön päällikkö Erka Koivunen, p. 050 309 8094
CERT-FI haavoittuvuuskoordinointi, sähköposti: vulncoord@ficora.fi