Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | Haavoittuvuudet | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet

Haavoittuvuudet

Tietoteknisistä järjestelmistä ja ohjelmistoista löydetään jatkuvasti virheitä, jotka voivat mahdollistaa esimerkiksi järjestelmän palvelutasoon vaikuttamisen tai jopa tietojärjestelmään murtautumisen. Haavoittuvuudet voivat koskea lähes kaikenlaisia järjestelmiä ja ohjelmia ja niitä löytyy niin tietoverkkojen reitittimistä, julkisista web-palvelimista kuin tavallisten käyttäjien henkilökohtaisista tietokoneista.

CERT-FI:n tietoon tulleista suomalaisten kannalta merkittävistä tietojärjestelmien tietoturvallisuutta vaarantavista ohjelmisto- ja laitevirheistä julkaistaan haavoittuvuustiedotteita. Haavoittuvuustiedotetta päivitetään, mikäli oleellista uutta tietoa ilmenee.

Haavoittuvuuden aiheuttamasta erityisestä uhasta voidaan julkaista erillinen varoitus. Muita haavoittuvuuteen liittyviä huomioita voidaan tarkastella myös Tietoturva nyt! -artikkeleissa.

Nykyinen haavoittuvuusluokittelu on otettu käyttöön maaliskuussa 2007 eikä luokittelutietoja välttämättä ole kaikista aikaisemmista ilmoituksista. Vanhempien tiedotteiden jako varoituksiin ja haavoittuvuustiedotteisiin on myös tehty myöhemmin.

Haavoittuvuustiedotteessa kannattaa kiinnittää huomio erityisesti seuraaviin seikkoihin.

Haavoittuvuuden luokittelu

CERT-FI:n julkaisemat haavoittuvuustiedotteet luokitellaan kohteena olevien järjestelmien, hyökkäystavan, haavoittuvuuden hyväksikäytön aiheuttamien vahinkojen ja ongelman korjaavien toimenpiteiden mukaisesti. Näiden haavoittuvuutta kuvaavien tietojen perusteella on mahdollista arvioida sen aiheuttaman tietoturvaongelman vakavuus.

Linkit CVE-palveluun ja CVSS-pisteytys

CERT-FI kannustaa hyödyntämään US-CERT:in ylläpitämää ja FIRST:n piirissä kehitettyä haavoittuvuuksien CVSS-pisteytystä (Common Vulnerability Scoring System) uhka-arvioinnin tukena. Tämän vuoksi haavoittuvuustiedotteisiin liitetään mahdollisuuksien mukaan linkit CVE-tietokantaan (Common Vulnerability and Exposures).

Tietoturvaongelman ratkaisu- ja rajoitusmahdollisuudet

Haavoittuvaksi havaitun tuotteen valmistaja laatii yleensä tuotteensa käyttäjien suojaksi ohjeita ja suosituksia haavoittuvuuden aiheuttaman uhan minimoimiseksi. Aina tällaisia suosituksia ei kuitenkaan ole heti saatavilla.

Sivua päivitetty 08.01.2010   Tulostusversio Tulostusversio

Haavoittuvuustiedotteet voit lukea myös