Haavoittuvuuksia XML-kirjastoissa

XML (Extensible Markup Language) on World Wide Web Consortiumin (W3C) määrittelemä yleinen kieli, jota käytetään tiedon ja dokumenttien käsittelyyn lähes kaikissa tietojärjestelmissä. XML-kirjastototeutuksista on löydetty useita haavoittuvuuksia. CERT-FI toimi haavoittuvuuksien korjausprosessin koordinoijana.

Haavoittuvuudet liittyvät odottamattomia tavuarvoja ja useita toistettuja sulkeita sisältävien XML-elementtien käsittelyyn, joka voi johtaa muistinkäsittelyvirheeseen tai päättymättömään silmukkaan. Haavoittuvuudet voivat aikaansaada kohdejärjestelmässä palvelunestotilan, tai potentiaalisesti mahdollistaa hyökkääjän oman ohjelmakoodin suorituksen kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä se XML-muotoisia tiedostoja käsittelevälle palvelimelle.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Codenomiconin CROSS-projektin Jukka Taimistoa, Tero Ronttia ja Rauli Kaksosta haavoittuvuuden raportoinnista ja koordinointiin osallistuneita valmistajia yhteistyöstä haavoittuvuuden korjaamisessa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot: