Taloussanomat

Tietoturvaväki kohisi aukosta – paikattiin yli vuosi sitten

15.1.2016 08:08 FortiOS-palomuuriohjelmistoon julkaistiin haavoittuvuus – vaikka aukko oli korjattu yli vuosi sitten

Maailma on täynnä tietoturvakohuja, mutta ihan kaikki niistä eivät pidä paikkaansa – tai niiden perusteet ovat huterat.

Tällainen nousi viime viikolla, kun Seclists.orgissa julkaistiin Full Disclosure -python-koodipätkä, joka avaa takaportin palomuurivalmistaja Fortinetin FortiGateOS-ohjelmistossa.

Koska Juniperin takaovitus oli vielä tuoreessa muistissa, paljastus sai nopeasti tilaa Redditissä. Keskustelu röyhähti nopeasti myös Hacker Newsin keskusteluissa.

Keskusteluissa todisteltiin ja analysoitiin ohjelman eri versioiden haavoittuvuuksia. Kaikissa haaroissa ja versioissa portti ei auennut.

Melko pian palomuurivalmistaja julkaisi blogissaan tiedotteen asiaan liittyen.

– Haavoittuvuus julkistettiin ja korjattiin vuoden 2014 kesäkuussa. (...) Kyseessä ei ollut haavoittuvuus, vaan hallinnan autentikaatioon liittyvä asia, Fortinet kirjoitti.

Myös Kyberturvallisuuskeskus katsoi perustelluksi laittaa asiasta tiedote ulos – viimevuotinen paikkaus mainiten.

Vaikka Fortinet päättikin kutsua aukkoa "autentikaatioon liittyväksi asiaksi", teki se samalla selväksi asian olevan korjattu. Ja samalla sen, että haavoittuvuuden julkaisija pyöritti vanhoja ohjelmistoversioita.

Opettavainen tarina: Ihan kaikki tietoturvauutiset eivät ole kohun arvoisia. Ei, vaikka jotkut olivat julistamassa kaikkea suljetun lähdekoodin tietoturvaa automaattisesti turvattomaksi.

Jutun kirjoitti: Henrik Kärkkäinen

Henrik Kärkkäinen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (5)

Sivut: 1
EdellinenSeuraava

Anonyymi
"vaikka jotkut olivat julistamassa kaikkea suljetun lähdekoodin tietoturvaa automaattisesti turvattomaksi"

olisko tarkempaa lahdetta kuin "jotkut"
Anonyymi: Midas_Mulligan 15.1.2016 9:19

Anonyymi
"vaikka jotkut olivat julistamassa kaikkea suljetun lähdekoodin tietoturvaa automaattisesti turvattomaksi"

olisko tarkempaa lahdetta kuin "jotkut"
OpenBSD ja tuorein esimerkki eiliseltä "OpenSSH Clients Struck By New Security Vulnerability"
Anonyymi: Onneksionwindows 15.1.2016 9:26

Rekisteröitynyt käyttäjä
"vaikka jotkut olivat julistamassa kaikkea suljetun lähdekoodin tietoturvaa automaattisesti turvattomaksi"

olisko tarkempaa lahdetta kuin "jotkut"OpenBSD ja tuorein esimerkki eiliseltä "OpenSSH Clients Struck By New Security Vulnerability"


Kannattaa myös lukea artikkeli loppuun. Tuo on siis ongelma jos otat yhteyttä esim. firmasi ssh serveriin joka on jo "korkattu". Mutta toki nämä pitää korjata ja pätsit asentaa.
Rekisteröitynyt käyttäjä: huithapeli 15.1.2016 10:37

Anonyymi
"Opettavainen tarina: Ihan kaikki tietoturvauutiset eivät ole kohun arvoisia. Ei, vaikka jotkut olivat julistamassa kaikkea suljetun lähdekoodin tietoturvaa automaattisesti turvattomaksi." - Nyt meni vellit ja puurot sekaisin, eli toimittajan vertaus kohun arvoisen uutisen ja suljetun lähdekoodin turvattomaksi julistamisen suhteesta on varsin läpinäkyvästi asenteellinen.

Tietoturvan tapauksessa kaikki mikä on suljettua lähdekoodia on aina lähtökohtaisesti turvatonta siinä mielessä ettei suljetun lähdekoodin turvallisuutta voida todentaa ...

J-P Laine
Anonyymi: The_Way_It_Is 15.1.2016 12:29

Anonyymi
Tietoturvan tapauksessa kaikki mikä on suljettua lähdekoodia on aina lähtökohtaisesti turvatonta siinä mielessä ettei suljetun lähdekoodin turvallisuutta voida todentaa ...



Toden totta. Aamen ja Halleluja!
Anonyymi: EiKiitosYlläreitä 15.1.2016 23:00
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Nolot kappaleet levisivät, Spotify korjaa

30.09.2011 Spotify parantaa musiikin kuuntelijoiden yksityisyyttä, mutta ei tehnyt mitään Facebook-pakolle.


2013

Kolme vuotta sitten

Suomen viranomaiset pyysivät Microsoftilta tietoa 70 tilistä

30.09.2013 Microsoft sai Suomen viranomaisilta alkuvuoden aikana 40 tietopyyntöä, jotka koskivat 70 tiliä tai nimettyä henkilöä. Luvuissa ovat mukana sekä Microsoftin että sen tytäryhtiön Skypen asiakkaita koskevat tietopyynnöt. Globaalisti tietopyyntöjä kertyi yli 37 000.

.