Taloussanomat

Tietoturvayhtiö kiisti takaportin – sitten löytyi kolme lisää

Kuva: Hanne Salonen

26.1.2016 12:49 Kolmesta uudesta Fortinetin ohjelmistosta löytyi ssh-takaportti.

Toissa viikolla tietoturvaväen keskuudessa pinnalle noussut aukko tietoturvayhtiö Fortinetin tuotteissa on saamassa jatkoa, kertoo Ars Technica.

Fortinet leimasi tuolloin FortiGate OS -ohjelmistosta löytyneen aukon vanhentuneeksi uutiseksi. Yhtiön mukaan kyseessä ei ollut haavoittuvuus tai takaportti, vaan "hallinnan autentikaatioon liittyvä asia", joka löytyi ainoastaan ohjelmiston vanhentuneista versioista.

Viime viikolla yhtiö joutui myöntämään, että takaportti löytyy yhä aktiivisena monista yhtiön tuotteista. Ssh-takaportti on myös FortiSwitchissä, FortiAnalyzerissa sekä FortiCachessa.

Yhtiö itse ei puhu takapostista, vaan käyttää nimitystä "vulnerability issue" (haavoittuvuusominaisuus).

Yhtiö sanoo korjanneensa aukot ohjelmistopäivityksellä.

Kaiken kaikkiaan haavoittuvia ovat:

  • FortiAnalyzer: 5.0.5–5.0.11 ja 5.2.0–5.2.4 (ei 4.3-haara)
  • FortiSwitch: 3.3.0–3.3.2
  • FortiCache: 3.0.0–3.0.7 (ei 3.1-haara)
  • FortiOS 4.1.0–4.1.10
  • FortiOS 4.2.0–4.2.15
  • FortiOS 4.3.0–4.3.16
  • FortiOS 5.0.0–5.0.7

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (5)

Sivut: 1
EdellinenSeuraava

Anonyymi
Yhtiö itse ei puhu takapostista, vaan käyttää nimitystä "vulnerability issue" (haavoittuvuusominaisuus).


Vähän kuin mikkisoftan tuotteissa: Tämä ei ole virhe vaan ominaisuus :D
Anonyymi: unsecurebydesign 26.1.2016 15:24

Anonyymi
Luotettavaa, tietoturva on illuusio, josta tyhmät tahot vielä maksavat jälkijättöisestä kehityksestä, no tyhmähän ei ole joka pyytää.
Anonyymi: WinWin 26.1.2016 15:39

Anonyymi
Miten firma kehtaa väittää ettei kyseessä olisi takaportti, jos kerran laitteeseen pääsee kiinni firmwareen tarkoituksella kovakoodatulla salasanalla?
Anonyymi: totuuseipalatulessa 26.1.2016 15:57

Anonyymi
Yhtiö itse ei puhu takapostista, vaan käyttää nimitystä "vulnerability issue" (haavoittuvuusominaisuus).

Vähän kuin mikkisoftan tuotteissa: Tämä ei ole virhe vaan ominaisuus :D


You hold it wrong!
Anonyymi: iRoskaa_kalliilla 26.1.2016 17:55

Anonyymi
Eikö toi 5.07 koodi ole jo tapettu vuosia sitten? Kuka urpo käyttää tietoturvapurkissa vuosia vanhaa koodia? Mikä on takaposti?
Anonyymi: Useri 27.1.2016 21:27
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Facebook pitää palvelunsa ilmaisena

27.09.2011 Yhteisöpalvelu Facebook vakuuttaa pysyvänsä ilmaisena kaikille käyttäjille, vaikka laajasti levinnyt kiertokirje väittää muuta.


2013

Kolme vuotta sitten

Harvat ja valitut pääsevät testaamaan Steam-pelikonsolia

27.09.2013 Steam-asiakas saattaa saada Valven Steam Machinen testiin, jos on onnekas. Yhtiö lähettää kourallisen prototyyppikonsoleita aktiivipelaajille.

.