Microsoftin ftp-palvelimesta löytyi vakava haavoittuvuus
Kuva: Niko Jylhä
1.9.2009 11:20 Microsoftin IIS5:n ftp-palvelimesta on löytynyt haavoittuvuus, jolla hyökkääjä voi suorittaa järjestelmässä komentoja. Haavoittuvuudelle ei ole vielä löytynyt korjauskeinoa.
Kyseessä on niin sanottu nollapäivähaavoittuvuus, eli sille on jo olemassa julkinen hyväksikäyttömenetelmä, muttei vielä korjauskeinoa.
Haavoittuvat ohjelmistot ovat IIS5 sekä Windows Server 2000 SP4.
– Ei ole täyttä selvyyttä, onko haavoittuvuus myös Windows 2003 -järjestelmissä, sanoo tietoturva-asiantuntija Antti Kiuru CERT-FI -tietoturvayksiköstä.
Microsoftin IIS- eli Internet Information Services -palvelinohjelmat on tarkoitettu toimimaan Windows-pohjaisissa internet-palvelimissa, ja ovat siis erittäin yleisiä.
– Haavoittuvuus koskee palvelimien ftp-palvelinkomponenttia, joka on jonkun verran harvinaisempi, Kiuru toteaa.
Windows 2000 on käyttöjärjestelmänä jo melko vanha. Kiurun mukaan haavoittuvuus on kuitenkin vakava, sillä se sallii hyökkääjän suorittaa järjestelmässä omia komentojaan.
Haavoittuvuuden hyväksikäyttö vaatii käyttäjätunnuksen palvelimelle. Tietoturvayksikkö CERT-FI neuvoo rajoittamaan pääsyä ftp-palvelimelle esimerkiksi palomuurin avulla, rajaamalla ulos muut kuin palvelimen käyttäjien ip-osoitteet sekä kieltämällä kirjautumisen anonyyminä.
Perttu Pitkänen
perttu.pitkanen@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Kolme vuotta sitten
Johtaminen on palveluammatti
27.05.2009 Johtamisen kehittämisestä puhutaan paljon ja syystä. Monessa it-yrityksessä ajatellaan, että johtamisessa on käytössä modernit mallit, mutta silti pinnan alla pysyvät lujasti sata vuotta vanhat opit.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Ainakin 2000 saa potkut RIMiltä 09:44
- » Taloussanomat.fi
Kommentit (27)
Hahaa.. suomenkieli on vaikeaa.
Missä mielessä erittäin yleisiä?
HAAVOITTUVAT OHJELMISTOT: IIS5, Windows Server 2000 SP4 - CERT-FI:n tietojen mukaan haavoittuvuus ei koske muita käyttöjärjestelmäversioiden kuten Windows Server 2003:n tai Windows Server 2008:n IIS-palvelimia.
Oma häpeä, jos pitää Win2k serveriä vielä pystyssä ja FTP:n auki siihen päälle.
Uutisoitaisiinpa 8-9 vuotta vanhojen versioiden bugeista muissakin kuin MS:n tapauksessa.
Tuon voi ajaa päivityksenä 2003:n samalla vaivalla kuin asentaa korjauksen.
9,5 vuotta vanhaa käyttistä ei hirvesti kannattaisi enää tässä vaiheessa käyttää.
Koska uusi on paljon parempi ja sen voi asentaa päivityksenä ilman että kaikki muu mitä samassa purkissa on lakkaisi pelaamasta.
Uutisoitaisiinpa 8-9 vuotta vanhojen versioiden bugeista muissakin kuin MS:n tapauksessa.
www.digitoday.fi/tietoturva/2008/07/11/unix-virheelle-kertyi-ikaa-33-vuotta/200818262/66
Valitettavasti en löytänyt juuri 8-9 -vuotisten versioiden bugeja nyt tähän hätään.
Eiköhän "internet-palvelimista" suurin osa ole muita ku IIS-tuubaa winkkarin päällä. Voi etsiä faktaaki googlesta.