Suomalaisia palvelimia kaapattiin ja sivuja töhrittiin
4.7.2007 09:15 (päivitetty 09:17) Suomalaisten www-palveluntarjoajien palvelimia kaapattiin ja sivustoja töhrittiin viime viikonlopulla, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.
CERT-FI huomauttaa, että usein www-palvelimien kaappaukset tehdään PHP-ohjelmointikielessä tai jossain PHP-sovelluksessa olevaa haavoittuvuutta hyväksikäyttämällä.
PHP-ohjelmointikielestä löydetään uusia haavoittuvuuksia melko usein. Muun muassa Month of PHP Bugs -kampanjassa löydettiin 44 PHP-ohjelmointikieleen suoraan tai välillisesti liittyvää haavoittuvuutta. Haavoittuvuuksia on löytynyt myös tämän haavoittuvuuskuukausikampanjan jälkeen.
PHP-projekti julkaisee uusia pääversioita PHP4 ja PHP5 -tuotteista verrattain harvoin, jolloin korjaukset tulevat saataville vasta haavoittuvuuksien julkistamisen jälkeen.
Lisäksi monet käyttöjärjestelmäjakelijat ja eräät muut tahot tarjoavat PHP:ta valmiiksi paketoituina versioina. Nämä paketit eivät kuitenkaan aina ole uusinta pääversiota, jolloin uusimpien korjausten saaminen viivästyy entisestään. Tosin esimerkiksi Linux-jakelijat saattavat tehdä itse korjauksia tarjoamiinsa paketteihin, jolloin osa haavoittuvuuksista tulee paikatuksi sitä kautta.
Tuorein ja vähiten julkaistuja haavoittuvuuksia sisältävä versio PHP:sta on PHP-projektin CVS-järjestelmästä löytyvä kehitysversio. Tämä versio saattaa kuitenkin olla epävakaa ja se on itse käännettävä lähdekoodeista, jolloin päivittäminen on tavallista työläämpää.
PHP:n tietoturvallinen käyttäminen www-palvelimilla ja kolmansien osapuolten PHP-sovellusten ajaminen julkisessa www-palvelussa on haastavaa ja vaatii palveluntarjoajalta syventymistä asiaan. PHP-sovellukset on suositeltavaa eristää palvelimien käyttöjärjestelmästä ja toisistaan ajamalla niitä omissa virtuaalikoneissaan tai rajoittaa www-palveluprosessin oikeuksia käyttöjärjestelmässä.
Muun muassa Hardened PHP -projekti tarjoaa työkaluja PHP:n ja PHP-sovellusten tietoturvallisuuden parantamiseen.
Lisätietoa löytyy sivuilta:
http://www.php.net/
http://www.hardened-php.net/
http://www.php-security.org/
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
Kommentit (3)
PHP:ssä harvemmin on sellaista aukkoa minkä hyödyntämistä ei normaali tietoturvallinen ohjelmointitapa estäisi.
Uutisteksti kuitenkin näyttää keskittyvän PHP:n aukkoihin, mitkä tosiaan eivät ole se suurin ongelma.