Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2010 > CERT-FI haavoittuvuustiedote 102/2010

CERT-FI haavoittuvuustiedote 102/2010

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

1.7.2010

Haavoittuvuus LibTIFF-kirjastossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

LibTIFF on TIFF-muotoisten kuvien käsittelyyn tarkoitettu kirjasto. LibTIFF-kirjastosta on löytynyt haavoittuvuuksia, jotka voivat mahdollistaa hyökkääjän omien komentojen suorittamisen haavoittuvaa kirjastoa käyttävässä järjestelmässä. Epäonnistunut hyväksikäyttö johtaa haavoittuvaa kirjastoa käyttävän sovelluksen kaatumiseen. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla haavoittuvaa ohjelmistoa käyttävä käyttäjä avaamaan haitallisella tavalla muotoillun tiedoston.

Haavoittuvuuskoordinointi

CERT-FI on raportoinut haavoittuvuudet CVE-2010-2065 ja CVE-2010-2443 haavoittuvan tuotteen valmistajalle ja keskeisille tuotetta käyttäville ohjelmistovalmistajille. CERT-FI kiittää Oulun Yliopiston OUSPG-tutkimusryhmää haavoittuvuustutkimustyökalujen kehittämisestä.

HAAVOITTUVAT OHJELMISTOT:

  • LibTIFF 3.9.x ennen versiota 3.9.3. Kirjaston haavoittuvaa versiota käyttävät sovellukset ovat myös haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä LibTIFF-kirjasto uusimpaan versioon valmistajan www-sivuilta:

http://www.remotesensing.org/libtiff/

tai asenna käyttämäsi käyttöjärjestelmä- tai sovellusvalmistajan tarjoama korjauksen sisältävä ohjelmistopaketti.

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #391068] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html.

LISÄTIETOA:

PÄIVITYSHISTORIA:

1.7.2010, kello 15.30: Julkaistu
29.7.2010, kello 9.25: Lisättylinkit JPCERT/CC:n tiedotteisiin

 Kommentoi 
Sivua päivitetty 29.07.2010   Tulostusversio Tulostusversio

Tähän haavoittuvuuteen liittyvää luettavaa