Hyväksikäyttöesimerkit julkaistu

Nokian Intellisyncistä löydettiin useita haavoittuvuuksia

Intellisync-tuotteiden avulla voidaan yrityksen tietovarastot saattaa mobiililaitteiden käyttöön.

9.5.2007 16:21 Tietoturvatutkija Johannes Greil ilmoitti löytäneensä useita tietoturvahaavoittuvuuksia Nokian Intellisync Mobile Suite -ohjelmistosta.

Nokian Intellisync Mobile Suite on kasa ohjelmistoja, jotka sijaitsevat yhdellä palvelimella ja tarjoavat mobiliteettitoimintoja. Ohjelmistojen avulla voidaan yhdistää lähes mikä tahansa yrityksen tieto mobiililaitteisiin.

Suosittele
1 suositus

Kuuntele

Itävaltalaisen Sec-Consultin tietoturvatutkija Johannes Greilin mukaan haavoittuvuuksien avulla hyökkääjä voi saada käsiinsä henkilötietoja, suorittaa sivustojen välisiä hyökkäyksiä, muokata tiettyjä tietoja tai aiheuttaa palveluneston. Hyökkääjän ei myöskään tarvitse kirjautua toimivilla tunnuksilla palveluun haavoittuvuuksien hyödyntämiseksi.

Ongelmat johtuvat Apache Tomcat 5.0.25-version haavoittuvuudesta, joka vuotaa hakemistolistauksia ja ohjelmien lähdekoodia. Lisäksi jotkin asp-sivut /usrmgr/ -hakemiston alaisuudessa listaavat kaikki käyttäjät ja sähköpostipalvelin osoitteen, muttei kuitenkaan näiden salasanojaa.

Greil huomasi myös, että ohjelmistopalvelun kaikki käyttäjät voitiin kytkeä pois käytöstä ja aiheuttaa palvelunesto. Lisäksi jotkin asp-sivut olisvat myös haavoittuvaisia cross site scripting -hyökkäyksille.

Haavoittuvuudet on raportoitu löytyvän ainakin ohjelmiston 6.4.31.2, 6.6.0.107 ja 6.6.2.2 -versioilla. Lisäksi osa haavoittuvuuksista vaikuttaa myös Nokia Intellisync Wireless Email Express -ohjelmistoon.

Tietoturvayhtiö Secunian mukaan myös muitakin versioita voi olla alttiina haavoittuvuuksille. Secunia on luokitellut haavoittuvuudet keskitason kriittisiksi.

Greil ilmoitti maaliskuun puolen välin jälkeen asiasta Nokialle. Pienen sähköpostipallottelun jälkeen yhtiön Itävallan yksikkö totesi, että vika johtuu tuotteissa käytetystä Novellin tuotteesta, ja että asiasta pitäisi ilmoittaa Novellille. Novellilta puolestaan todettiin, että haavoittuvuudet ovat Nokian vastuulla. Tähän pallotteluun kului lähes kuukausi aikaa, eikä Nokia ole informoinut Greiliä kunnolla tekemisistään.

Tietoturvatutkijan tietojen mukaan Nokia on testannut "GMS 2"-versiota, jossa haavoittuvuuksia ei pitäisi olla ja että päivittämistä suositellaan.

Greil suosittaa ongelmien kiertämiseksi rajoittamaan pääsyä /usrmgr/ -polkuun ja käsin päivittämään Tomcat-asennusta, jos mahdollista.

Matias Mäki
matias.maki@sanoma.fi

Suosittele
1 suositus

Kuuntele

Aiheeseen liittyviä uutisia

Uudemmat

Nokia hyvästelee Intellisyncin 29.9.2008
Nokian N95 kaadettavissa sip-paketeilla 7.12.2007
Nokia myy Pakistaniin sähköpostia 29.11.2007
Apachessa on helppoja aukkoja 10.9.2007
Palvelunestohyökkäykseltä voi suojautua 15.6.2007
Google: Microsoftin web-palvelin tarjoilee useammin haittaohjelmia 7.6.2007
Norton Antiviruksesta löytyi haavoittuvuus 19.5.2007
Nokia varoitti positiivisesti 14.5.2007

Aiemmat

Nokia ja Siemens kättelevät langattomasti yritysviestinnässä 16.3.2007
Nokia saa tunnustusta mobiililaitteiden hallinnasta 15.3.2007
Microsoft kirii kiinni Nokian etumatkaa yrityspuhelimissa 21.2.2007
Sony Ericsson otti puhelimiinsa Nokian Intellisyncin 16.1.2007
Nokia sai uuden Intellisync-asiakkaan 21.11.2006
Pointsec salaamaan Nokian Eseries-tuotesarjaa 8.11.2006
Orangen meilit kännykkään Nokian Intellisyncillä 31.10.2006
TietoEnatorin työpisteen hallinta tukeutuu Nokiaan 4.10.2006
Pöytäpuhelimen ominaisuuksia Nokian E-sarjaan 21.9.2006
OMA DM -laitteet etähallintaan ilman eri ohjelmistoasennusta 18.5.2006
Nokialta uusi yrityskännykkä 18.5.2006
Elisa etäasentaa ohjelmistot yrityskännyköihin 16.5.2006
Visto voitti oikeusjutun Seveniä vastaan 3.5.2006
Nokialta odotetaan hyvää näyttöä alkuvuodelta 10.4.2006
Nokialta laitehallintaa operaattorien yritysasiakkaille 5.4.2006

Mainitut yritykset

Oikotie

Työpaikat

Loput 4333 työpaikkaa Oikotiellä

Kirjoita kommentti

Kommentit (1)

Tietoturvatutkija Johannes Greil ilmoitti löytäneensä useita tietoturvahaavoittuvuuksia Nokian Intellisync Mobile Suite -ohjelmistosta.

Digitoday

Lainaa

Ilmoita asiaton viesti

# 9.5.2007 20:02

Sivut: 1 Edellinen Seuraava

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

48h luetuimmat kaikista uutisista.
10.2. FBI: Steve Jobsilla oli top-secret -luokitus
8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
8.2. Nokian Salon tehdasta on ajettu alas pitkään
10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
8.2. Nokia julkistaa huippupuhelimen Barcelonassa
8.2. Applen televisio voi saada liikeohjauksen
8.2. Yllätys: Nokia on ylivoimainen web-johtaja
9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
Luetuimmat

Kevyt ja nopea

Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?

RSS-feedit

Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.

Uusimmat uutiset

Poiminnat

Tietoa uhkaavat jättilasku ja asiakaskato Ruotsissa

Onko verkkopalveluusi murtauduttu?

Lehti: Rovio antoi rukkaset kosijalle

12 vaarallisinta älypuhelinta: Kaikki Androideja

Uusi vuoto paljasti yli 70 000 käyttäjätunnusta ja salasanaa

Facebook tekee radikaalin muutoksen

Digiyesterday

Viisi vuotta sitten

Krakkerit töhersivät ydinturvajärjestön nettisivut

11.02.2007 Krakkerit ujuttivat keskiviikkona Kanadan ydinturvakomission web-sivujen etusivulle kuvan ydinräjähdyksestä. Komissiossa ei tiedetä, milloin palvelimelle murtauduttiin ja miten kauan krakkerit siellä viihtyivät.

Kolme vuotta sitten

Brittiteini viettää netissä 31 tuntia viikossa

11.02.2009 Teini-ikäiset britit käyttävät nettiä viikossa kolme tuntia läksyjen tekemiseen ja puolitoista tuntia musiikin lataamiseen.

Taloussanomat

Hintanousijat

Hakuohje

digitoday