Press Releases
Codenomiconin DEFENSICS for XML -ratkaisu paljasti lukuisia haavoittuvuuksia yleisistä XML-kirjastoista
Päivityksiä julkaistu avoimen lähdekoodin tuotteille ja kaupallisille ohjelmistoille
Oulu 6.8.2009 - Oululainen tietoturvatestausohjelmistojen valmistaja Codenomicon Oy on auttanut korjaamaan kriittisiä haavoittuvuuksia lukuisissa suosituissa avoimen lähdekoodin XML-toteutuksissa, mukaanlukien XML-kirjastot Sun Microsystemsiltä, Apache Software Foundationilta sekä Python Software Foundationilta.
Codenomicon löysi haavoittuvuudet vuoden 2009 alussa tehdessään uutta testaustuotetta XML-pohjaisille verkkoprotokollille. Kun testejä alettiin kokeilla XML-kirjastoja vastaan, löydettiin pian useita haavoittuvuuksia XML-datan käsittelyssä. Haavoittuvuuksia voidaan teoriassa hyväksikäyttää esim. huijaamalla tietokoneen käyttäjä avaamaan erityinen XML-dokumentti tai lähettämällä WWW-pyyntöjä XML-dataa käsittelevälle palvelimelle. Haavoittuvuudet mahdollistavat ainakin palvelunestohyökkäykset haavoittuvaa palvelua vastaan, mutta myös vakavammat hyökkäykset saattavat ovat mahdollisia aina haavoittuvan isäntälaitteen haltuunottoon saakka. Codenomicon raportoi löytämänsä haavoittuvuudet Viestintäviraston tietoturvayksikölle CERT-FI:lle, joka huolehti raporttien toimittamisesta eteenpäin valmistajille. Tänään julkistettujen XML-toteutusten lisäksi korjauksia odotellaan vielä muutamilta muilta valmistajilta.
"XML-toteutuksia löytyy sellaisistakin laitteista ja palveluista, mistä niitä ei heti odottaisi löytävänsä", kommentoi CERT-FI -yksikön johtaja Erka Koivunen. "Meidän kannaltamme on tärkeintä, että ohjelmistojen käyttäjät asentavat nyt julkaistut päivitykset mahdollisimman pian. Prosessi päättyy vasta, kun korjatut ohjelmistoversiot on saatu tuotantokäyttöön", Koivunen jatkaa.
Codenomicon on säilyttänyt etumatkansa mallipohjaisessa tietoturvatestauksessa vuodesta 1996 alkaen, jolloin sen perustajat työskentelivät Oulun yliopiston tietoturvallisen ohjelmoinnin tutkimusryhmän OUSPG:n maailmanlaajuista huomiota herättäneessä PROTOS-projektissa. PROTOS-tutkijoiden pilotoimaa niin sanottua sumeaa testausta käyttäen ensimmäiset haavoittuvuudet löydettiin ASCII/MIME-tiedostomuotoja käyttävistä sähköpostiohjelmista ja WWW-selaimista. Myöhemmin samaa tekniikkaa käytettiin löytämään laajalti huomiota herättäneitä haavoittuvuuksia ASN.1-datan käsittelyssä muun muassa SNMP-, LDAP- ja X.509-protokollissa. Codenomicon perustettiin 2001, jonka jälkeen yrityksen DEFENSICS-tuoteperhe on laajentunut kattamaan yli 150 yleisesti käytössä olevaa protokollaa ja tiedostomuotoa, mukaanlukien myös langattomia teknologioita, kuten Bluetooth ja WLAN. Codenomiconin DEFENSICS for XML-ratkaisu laajentaa Codenomiconin tuoteperhettä entisestään XML-pohjaisten protokollien ja tiedostomuotojen testaukseen.
"Kehitimme XML-testit alun perin TR-069-protokollatesteriämme varten tammikuussa 2009", kertoo Sami Petäjäsoja, Codenomiconin tuotepäällikkö. "Pian meille selvisi XML-testiemme todellinen merkitys yksittäisten rajapintojen testaamisen sijaan. XML tarjoaa pohjan monille nykypäivän protokollille ja järjestelmille, joten melkein mitä tahansa voidaan testata", Petäjäsoja jatkaa.
XML on yleistynyt viime vuosina muutamien erillisten sovellusten ja tietojärjestelmien käyttämästä kuvauskielestä todelliseksi Internetin yleiskieleksi. XML:ää käytetään nykyään sellaisten teknologioiden piirissä kuten .NET, SOAP, VoIP ja Web Services. XML on mukana myös teollisuusautomaatioverkoissa (SCADA), pankkien rahaliikenteessä, terveydenhuollon järjestelmissä, melkeinpä kaikkialla missä on tarve käsitellä määrämuotoista dataa. Codenomicon XML-testauksen ideana on rikkoa järjestelmällisesti kaikkia XML-datan totuttuja rakenteita ja muotoja ja lisäksi syöttää luodut virheelliset XML-tietueet automaattisesti testattavalle toteutukselle. Havaittavat virhetilanteet vaihtelevat erilaisista palvelunestotilanteista aina mahdollisuuteen suorittaa hyökkäyskoodia haavoittuvaa toteutusta käyttävässä järjestelmässä.
Codenomiconin DEFENSICS for XML -testausratkaisu julkistetaan virallisesti Hacker Halted 2009 -konferenssissa Yhdysvalloissa syyskuussa 2009. Samassa konferenssissa kerrotaan lisätietoja tähän mennessä julkaistuista haavoittuvuuksista.
Codenomicon Oy
Codenomicon on tietoturvaan ja laadunvarmistukseen liittyvien ohjelmistotestausratkaisujen valmistaja. Codenomiconin Defensics-tuotteiden avulla asiakas voi nopeasti löytää ja tunnistaa sekä tiedossa olevat että piilevät haavoittuvuudet liiketoiminnan kannalta tärkeistä tuotteista ja palveluista ennen niiden käyttöönottoa. Codenomiconin ainutlaatuinen tapa käyttää älykästä testausmenetelmää verkko- ja mobiiliratkaisujen testauksessa paljastaa enemmän virheitä ja haavoittuvuuksia kuin yksikään toinen testausalusta tai -menetelmä. Yritykset luottavat Codenomiconin ratkaisuihin tietoturvauhkien estämisessä. Tällaisia uhkia ovat muun muassa palvelunestohyökkäykset (DoS, Denial of Service) ja Zero Day -hyökkäykset, jotka voivat tuhota yrityksen maineen ja romuttaa myynnin. Lisätietoja löytyy osoitteesta www.codenomicon.com.
CERT-FI
CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. Lisätietoja CERT-FI:stä löytyy osoitteesta www.cert.fi.
Follow us on:
