Toistuvat sulkeet puhkovat xml-kirjaston
23
Xml (extensible markup language) on World Wide Web Consortiumin määrittelemä yleinen kieli, jota käytetään tiedon ja dokumenttien käsittelyyn lähes kaikissa tietojärjestelmissä. Juuri siksi nyt raportoidut useat haavoittuvuudet voivat aiheuttaa hämminkiä harvinaisen laajasti.
Eri xml-kirjastototeutukset sortuvat hyökkääjän edessä, jos niiden pitää käsitellä odottamattomia tavuarvoja ja useita toistettuja sulkeita sisältäviä xml-elementtejä.
Viestintäviraston Cert-Fi-yksikön mukaan reikiin iskemällä voi saada aikaan muistinkäsittelyvirheen tai päättymättömän silmukan. Käytännössä se tarkoittaa palvelunestoa tai potentiaalisesti hyökkääjän oman ohjelmakoodin suorittamista järjestelmässä.
Haavoittuvuuksia voi käyttää hyväksi houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä se xml-muotoisia tiedostoja käsittelevälle palvelimelle.
Oulusta
kajahti
Cert-Fi toimi haavoittuvuuksien korjausprosessin koordinoijana. Oululainen Codenomicon havaitsi aukot testatessaan uutta ratkaisuaan, joka on tarkoitettu varta vasten xml-haavoittuvuuksien löytämiseen.
– Xml-sovellutuksia on kaikkialla - niitä on sellaisissakin järjestelmissä ja palveluissa, joista niitä ei odottaisi löytyvän. Meille on ratkaisevan tärkeää, että loppukäyttäjät ja organisaatiot, jotka käyttävät haavoittuvia kirjastoja, päivittävät uusiin versioihin, Cert-Fi:n johtaja Erka Koivunen sanoo Codenomiconin tiedotteessa.
Toistaiseksi julkistetut haavoittuvat toteutukset ovat:
Python libexpat
Apache Xercesin kaikki versiot
Sun JDK ja JRE 6 Update 14 ja tätä aikaisemmat versiot
Sun JDK ja JRE 5.0 Update 19 ja tätä aikaisemmat versiot
Mutta siinä ei todellakaan ole vielä kaikki.
Microsoftilta ennakoidaan
korjauksia
It-viikolle Koivunen kertoo, että haavoittuvuuskoordinoinnin yhteydessä on oltu yhteydessä moneen eri tahoon ja heiltä on tiedusteltu kiinnostuksesta tutkia, ovatko heidänkin tuotteensa ehkä haavoittuvia. Ja jos ovat, niin kiinnostaisiko korjaaminen.
– Tämä on ihan arkipäivää, että kaikki eivät vastaa, eivätkä kaikki halua tehdä yhteistyötä. Meillä on kyllä tiedossa, että jotkut korjauskoordinointiin osallistuneet valmistajat eivät kyenneet saamaan korjauksia ulos tällä aikataululla.
Koivunen ei voinut kertoa valmistajien nimiä. Mutta Cert-Fi:n tietoturva-asiantuntija Juhani Eronen ennusti Washington Post -lehden Security Fix -palstalle, että useat ohjelmistovalmistajat, kuten Microsoft, toimittavat korjaukset lähiviikkoina tai -kuukausina.
Xml on nykyään käytössä jopa osana pankkitoiminnan infrastruktuuria.
_Bridge_river_view_2008-09-18.jpg&w=48){kind=spacer}
Kommentit (23)
Koodia kierrätetään käytetään kaikkialla ja kaikista löytyy vikoja tarpeeksi tonkimalla. Ei ruutia kannata keksiä lisää. Vikoja korjataan sitä mukaa kun niitä löydetään.
Vedetään sähköt pois laitteista jos ohjelmistojen käyttö tuntuu liian riskialttiilta.
Minkähänlaisessa tynnyrissä olet oikein koodannut viimeiset about 5 vuotta? Javasta ja muistakin Open Source -tuotteista löydetään haavoittuvuuksia jatkuvalla syötöllä, siksi kukaan ei käytä niitä.
Köh. Niinpä niin.
Java lienee kaikkein yleisin XML-jäsennykseen käytetty kieli. Veikkaanpa, etteivät esimerkiksi C-toteutukset toimi juuri sen luotettavammin. Kuten artikkeli toteaa, ei lista ole kattava.
"Musta tuntuu, veikkaanpa" ei ole faktatietoa. Pidättäydytään faktoissa, jooko?
Kuten teki MS:n oma parseri, xercesin viritykset ja monet muut. Ilmeisesti tuolla on löytynyt joku ilkeä koodinpätkä, jolla saadaan lähes kaikki parserit rikki.
PS. Javasta on tullut jo uudempi versio. Ei kai kukaan noita vanhoja muutenkaan enää käytä...