Taloussanomat

Ciscon tietoturva-aukko on täysi kymppi: Nyt korjaamaan!

Kuva: © Kacper Pempel / Reuters

3.3.2016 15:56 Cisco julkaisi tietoturvakorjauksia, joista kriittisin koskee kytkinlaitteiden salasanaongelmaa.

Verkkolaite- ja ohjelmistovalmistaja Cisco Systems julkaisi korjauksia useisiin eri tuotteisiinsa. Korjauksista hälyttävin koskee tiettyjä kytkimiä ja niihin liittyvää käyttäjätiliä.

Haavoittuvuuksista kirjoittaa Viestintävirasto. Kriittistä haavoittuvuutta hyödyntämällä hyökkääjä on voinut käyttää laitteen oletussalasanoja ja näin saada pääkäyttäjätasoiset oikeudet.

Ciscon mukaan kyseinen kytkinten käyttäjätili luodaan asennuksen yhteydessä, eikä sitä voi muuttaa tai poistaa vaikuttamatta järjestelmän toiminnallisuuteen.

Hyökkääjä voisi käyttää tätä haavoittuvuutta hyväksi kytkeytymällä haavoittuvaan järjestelmään tämän oletustilin kautta, Ciscon tiedotteessa sanotaan.

Cisco on antanut haavoittuvuudelle korkeimman mahdollisen pistearvon 10.

Tämän ohella Cisco paikkasi kolme palvelunestotilan aiheuttamisen mahdollistavaa haavoittuvuutta ja yhden haavoittuvuuden littyen SSLv2-protokollaan.

Viimeksi mainittu korjaus liittyy laajempaan ongelmaan SSLv2:ssa. Niin sanotun Drown-haavoittuvuuden avulla on mahdollista purkaa salattuja yhteyksiä ja vakoilla liikennettä. Moni merkittävä suomalainen verkkosivusto paljastui haavoittuvaksi.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (3)

Sivut: 1
EdellinenSeuraava

Anonyymi
Käyttääkö oikeasti firmat ym. näin huonoja laitteita?
Anonyymi: Uskomatonkämmi 3.3.2016 18:14

Anonyymi
Käyttävät.

Mitä suurempi firma, niin sitä vanhempi tekniikka ja suurensuuri usko Microsoftiin, Ciscoon, Juniperiin ja HP:n jne.

Itse teen yli 15 vuoden kokemuksella turvaratkaisuja yrityksille ja parhaat asiakkaani löytyvät pien- ja keskisuurista. Tyypillisesti sellaisista yrityksistä, joilla ei ole valtavaa (ERP, SAP jne..) painolastia eikä kytköksiä valtioon. Näiden kanssa on toivoa, sillä sellaiset yritykset ovat innokkaita kuulemaan paremmasta.

Toisin kuin ne muutamat suuryritystä, joiden kanssa toimin ja jotka menevät taaksepäin! Parhaimmillaan ollaan tilanteessa, että yhä asennan jotain Office 2010 pakettia Windows 7:lle ainakin vuoteen 2019 saakka ja joku FSecure valittaa jokaisessa mailissa virheellisestä XML formaatista tietoturvauhkana. Hyvin menee!

Onneksi suuri osa pienyrityksiä alkaa ymmärtämään ja koulutuksen kautta enemmän ja enemmän. Moni siirtyy Linux-pohjaiseen, ensin Web-palvelimessa, sitten toimistopalvelimessa ja sitten jo työasemissa.
Anonyymi: theTrouble 3.3.2016 21:17

Anonyymi
Toisin kuin ne muutamat suuryritystä, joiden kanssa toimin ja jotka menevät taaksepäin!


En nyt näe suoraan yhtäläisyyttä yrityksen kokoon.

Homma on turvallista niillä joilla on riippuuvudet järjestelmistä katkottu niin, että pystyvät päivittämään sujuvasti uudemmaksi.

Isoilla yrityksillä voi olla jähmeyttä tässä kun on niin paljon tekniikkaa mitä pitäisi voida keskitetysti hallita mutta toisaalta pienellä yrityksellä yrittäjälle ei välttämättä makseta edes palkkaa joten ei välttämättä ole rahaa päivittää tai ostaa palveluna ketään suojaamaan.

Parhaimmillaan ollaan tilanteessa, että yhä asennan jotain Office 2010 pakettia Windows 7:lle ainakin vuoteen 2019 saakka ja joku FSecure valittaa jokaisessa mailissa virheellisestä XML formaatista tietoturvauhkana. Hyvin menee!


Minä taas luulen, että MS Office 2010:ä asennetaan 2020 saakka ja Windows 7:aa on tekohengitetään vielä 2022 ja embedded kohteissa 2025 saakka.

Noissa heikommin hoidetuissa IT-ympäristöissä on sotkettu valtavasti tekemällä riippuvuuksia käyttöjärjestelmään ja niistä ei sitten päästä eroon helpolla.

Paremmin hoidetuissa ympäristöissä jokaisen sovelluksen käyttöliittymä, jokaisen sovelluksen palvelinoa ja kanta, käyttöjärjestelmä päätelaitteissa ja käyttöjärjestelmä palvelimissa on eroteltu tai ainakin on valmiudet erotella ne helposti toisistaan jotta niitä voidaan päivittää sujuvasti uudemmaksi.
Anonyymi: totuusmies 4.3.2016 11:32
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti Yöaikaan lähetetyt kommentit päätyvät toimituksen tarkistettavaksi. Kommentit tarkistetaan ja hyväksytään seuraavan päivän aikana. Muina aikoina viestit ovat jälkimoderoinnissa.
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Apple varoittaa latureista iPhone-kuoleman jälkeen

26.07.2013 Applen varoitus antaa vihiä iPhone-kuolemantapauksen syystä Kiinassa.

.