CERT-FI haavoittuvuustiedote 066/2010

Heikkouksia sormenjälkitunnistukseen perustuvissa tietoturvatuotteissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Sormenjälkitunnisteisiin perustuvista tietoturvaohjelmistoista on löydetty heikkouksia. CERT-FI toimi haavoittuvuuksien korjausprosessin koordinoijana.

Heikkoudet liittyvät virustorjuntaohjelmistojen ja muiden sormenjälkitunnisteisiin perustuvien ohjelmistojen, kuten tunkeutumisen havaitsemisjärjestelmien, tapaan käsitellä pakkausformaatteja. Heikkoudet raportoinut taho on luonut salaamattomia ZIP, CAB, GZIP, 7Z ja RAR -pakkausformaattien mukaisia tiedostoja, jotka ovat yleisimpien purkuohjelmistojen näkökulmasta virheettömiä, mutta sormenjälkitunnisteisiin perustuvat ohjelmistot eivät aina havaitse tiedostojen sisällä olevaa haitallista sisältöä. Heikkoutta on mahdollista hyväksikäyttää tunnetun haitallisen tiedoston (esimerkiksi haittaohjelmien) piilottamiseen selväkielisten pakattujen tiedostojen sisälle.

Vakavimmin haavoittuvuus vaikuttaa sähköpostipalvelimien virustorjuntaohjelmistoihin, sekä työasemasta eriytettyihin virustorjuntaratkaisuihin. Mikäli työasemassa ei ole omaa virustorjuntaa, voivat arkistotiedostojen sisältämät haittaohjelmat jäädä kokonaan havaitsematta. Työasemapohjaisten virustorjuntatuotteiden tapauksessa pakatun tiedoston sisään piilotettu haitallinen tiedosto voidaan havaita pakattua tiedostoa purettaessa.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut heikkouksien julkaisun haavoittuvuuden löytäjän ReversingLabsin kanssa ja korjaukset heikkouden sisältävien tuotteiden valmistajien kanssa. CERT-FI kiittää ReversingLabs Corporationin Mario Vuksania tapauksen raportoinnista ja koordinointiin osallistuneita valmistajia yhteistyöstä heikkouksien korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

Authentium

• Korjattu uusimmissa automaattisissa päivityksissä.

Bitdefender

• Korjattu uusimmissa versioissa.
  

ClamAV

• Korjattu versiossa 0.96.
• https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1826

ESET

• The problem was resolved on March 17th 2010 via standard product updates; engine module version 4951, archive module version 1109.

F-Secure

• Korjattu useimpien tuotteiden osalta uusimmissa automaattisissa päivityksissä.
• http://www.f-secure.com/en_EMEA/support/security-advisory/fsc-2010-1.html

Microsoft

• For this issue, we do not consider circumvention of AV signatures using ZIP files (eg. encrypted container) as a vulnerability. Because the container can legitimately provide means of obfuscation/encryption AV is not expected to detect payload in all containers. Instead AV is expected to detect the content/payload upon opening the container (decompression/decryption). When the zip file is opened and the malware is decompressed, the AV software should detect the malware.

Panda

• Korjattu virusskannerin versiossa 10.0.2.7 uusimmilla virustunnisteilla

Sophos

• Korjattu tuotteiden ja online-virusskannerin uusimmissa versioissa

Sunbelt Software

• Korjattu uusimmissa versioissa
  

Virusbuster

• Korjattu versiossa EDK 5.1.0.16.
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #343848] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettvissa osoitteesta:

https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html.

LISÄTIETOA:

• CVE-2010-0098
• http://www.reversinglabs.com/advisory/
  
• http://jvn.jp/cert/JVNVU545953/
• http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-001371.html
  

PÄIVITYSHISTORIA:

12.4.2010, kello 16.00: Julkaistu
14.4.2010, kello 15.30: Lisätty linkki JPCERT/CC:n tiedotteeseen, täsmennetty sanamuotoja vakavuuden osalta
19.4.2010, kello 16.25: Muokattu Virusbusterin lausuntoa
20.4.2010, kello 16.46: Lisätty linkki ReversingLabs Corporationin tiedotteeseen
23.4.2010, kello 10.30: Lisätty Pandan, Sophosin ja Sunbelt Softwaren lausunnot
4.6.2010, kello 15.30: Lisätty linkki JPCERT/CC:n JVNDB-tiedotteeseen
6.8.2010, kello 10.53: Lisätty ESET:in lausunto

Sivua päivitetty 06.08.2010

Tulostusversio