Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on…

0

Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se…

1

Security Advisory 2659883 – Haavoittuvuus ASP.NET-kirjastossa

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta…

0

Pari juttua tietoturvatiedotteesta MS10-070

Viime tiistaina julkaistiin siis tietoturvatiedote MS10-070 normaalin tietoturvatiedotteiden julkaisuaikataulun ulkopuolella. Tiedote koskee ASP.NET-ohjelmointirajapinnasta löytynyttä haavoittuvuutta, tiedotteen tarkempi kuvaus löytyy täältä. Tiistaina julkaisimme tiedotteeseen liittyvät päivitykset ainoastaan Microsoftin lataussivustoon, ja nyt päivitykset on julkaistu myös muiden jakelukanavien (Windows Update/Microsoft Update, automaattiset päivitykset, WSUS) kautta. Myös Microsoft Baseline Security Analyzer -työkalu tunnistaa ja osaa raportoida tietoturvatiedotteen asennustarpeesta. Olen…

0

Security Advisory 977377 – Haavoittuvuus Windowsin TLS/SSL-toteutuksessa

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 977377 otsikolla Vulnerability in TLS/SSL Could Allow Spoofing. Microsoftin Security Advisory koskee Windowsin TLS/SSL-toteutusta, mutta itse haavoittuvuus liittyy TLS- ja SSL-protokollien määritykseen ja koskee näin ollen useita eri toteutuksia, ei pelkästään Windowsin toteutusta. Haavoittuvuus on MSRC:n tutkinnassa, ja siihen on korjaus tekeillä, ja lisäksi MSRC koordinoi korjauksen julkaisemista…

0

Lokakuun 2009 tietoturvatiedotteet

Microsoft on eilen 13.10.2009 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kolmetoista (13) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteessa on korjattu kaikkiaan kolmekymmentäneljä (34) haavoittuvuutta Windowsissa ja sen eri komponenteissa, Internet Explorerissa, Officessa, .NET-kirjastoissa sekä Visual Studio -ohjelmointiympäristössä, SQL Server -tietokantapalvelimessa sekä ForeFront Client Security -tietoturvatuotteessa. Tiedotteista kahdeksan on luokitukseltaan kriittisiä ja viisi luokitukseltaan…

0

Päivitys Security Advisoryyn 975191

Microsoft julkaisi pari päivää sitten IIS-palvelimen FTP-palvelua koskevan Security Advisoryn 975191. Advisoryssä kerrottiin FTP-palvelusta löytyneen haavoittuvuuden koskevan IIS-palvelun versioita 5.0., 5.1 ja 6.0, ja nyt listaan on päivitetty myös IISin versio 7.0. Eli haavoittuvuus koskee myös tuota, Windows Vistan ja Windows Server 2008:n mukana toimitettavan IIS-version FTP-palvelua. IIS-palvelimen version 7.0 tapauksessa ongelman voi kuitenkin korjata…

0

Security Advisory 975191 – haavoittuvuus Windowsin FTP-palvelussa

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 975191 otsikolla Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution. Advisory koskee Internet Information Services -palvelun versioiden 5.0, 5.1 ja 6.0 osana olevaa FTP-palvelua. Myöhään sunnuntaina 30.8.2009 netissä alkoi liikkua raportteja FTP-palvelua koskevasta haavoittuvuudesta, joka antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena…

0

Kesäkuun 2009 tietoturvatiedotteet

Microsoft on eilen 9.6.2009 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kymmenen (10) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteissa on korjattu kaikkiaan kolmekymmentäyksi (31) haavoittuvuutta Windowsissa ja sen eri komponenteissa, Officessa ja sen eri sovelluksissa sekä Internet Explorerissa. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms09-jun.mspx.    Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen…

0

Security Advisory 971492

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 971492 otsikolla Vulnerability in Internet Information Services Could Allow Elevation of Privilege. Advisory koskee Microsoftin Internet Information Serveristä löytynyttä haavoittuvuutta, josta jo suomalaisessakin IT-lehdistössä on ollut puhetta (mm. Tietokone.fi, ITViikko.fi) ja josta myös CERT.FI julkaisi haavoittuvuustiedotteen eilen. HAavoittuvuus koskee Internet Information Serverin versioita 5.0, 5.1 ja 6.0…

0