Haavoittuvuuksia Basware Maksuliikenne -ohjelmistossa

Yritysten maksunvälityksessä käytetystä maksunvälitysohjelmistosta on löydetty kaksi haavoittuvuutta. Haavoittuvuuksien hyväksikäyttö vaatii pääsyn yrityksen sisäverkkoon.

Basware Maksuliikenne -ohjelmisto on yritysten maksunvälityksessä käytetty ohjelmisto. Siitä on löydetty kaksi haavoittuvuutta. Haavoittuvuuksista ensimmäinen (CVE-2015-0943) voi mahdollistaa luottamukselliseen tietoon pääsyn tai tietojen muuttamisen yhteyden salauksen puutteen vuoksi.

Toisen haavoittuvuuden (CVE-2015-0942) avulla voi olla mahdollista ohittaa joitakin järjestelmän pääsynhallintaan liittyviä suojauksia. Tyypillisessä asennuksessa ohjelmistoon ei sallita pääsyä julkisesta verkosta, mikä pienentää haavoittuvuuksien muodostamaa riskiä.

Haavoittuvuuskoordinointi

Haavoittuvuudet löysi Samuel Lavitt. Kyberturvallisuuskeskus kiittää häntä ja Baswarea koordinointiin osallistumisesta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Basware Maksuliikenne, versiota 9.10.0.0 vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Pääsynhallintaan liittyvään haavoittuvuuteen (CVE-2015-0942) on saatavilla päivitys. Varmista, että ohjelmisto on päivitetty valmistajan ohjeiden mukaisesti versioon 9.10.0.0 tai sitä uudempaan versioon.

Salaukseen liittyvään haavoittuvuuteen (CVE-2015-0943) on saatavilla korjaus ohjelmiston versiossa 9.10.0.0.

Haavoittuvuuksien vaikutuksia voidaan rajoittaa rajaamalla pääsy ohjelmistoon vain sallituilta työasemilta.

Lisätietoa:

Haavoittuvuuskoordinoinnin yhteystiedot

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:
Sähköposti: vulncoord@ficora.fi
Mainitkaa tapauksnumero [FICORA #801202] viestin otsikossa.
Muut yhteystiedot:
https://www.viestintavirasto.fi/tietoturva/viestintavirastontietoturvapalvelut/haavoittuvuuskoordinointi.html

Kyberturvallisuuskeskus suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä.

Salausavaimet sekä kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin periaatteet ovat saatavilla osoitteessa:

https://www.viestintavirasto.fi/tietoturva/viestintavirastontietoturvapalvelut/haavoittuvuuskoordinointi.html

Päivitys 29.7.2015:

Haavoittuvuuden tarkempi kuvaus on julkistettu Full Disclosure-postituslistalla: http://seclists.org/fulldisclosure/2015/Jul/120

Päivitys 7.8.2015:

Lisätty tieto haavoittuvuuden
CVE-2015-0943 korjauksesta.

Päivityshistoria

Asiasanat: Tietoturva , CERT , Haavoittuvuuskoordinointi , NCSC-FI , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248