Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

CERT.LV aicina atjaunot eParakstītājs programmatūru

Kategorija: cert.lv + eparaksts + LVRTC

eParaksta lietotājiem ir pieejams programmatūras eParakstītājs 3.0 atjauninājums un LVRTC aicina lietotājus nekavējoties atjaunināt programmatūru eParakstītājs uz tās jaunāko versiju 1.3.9. Programmatūras lietotājiem eParakstītājs 3.0 versijas atjauninājums tiek piedāvāts automātiski, atverot programmatūru. Tiem eParakstītāja lietotājiem, kuriem iestādes drošības politika liedz patstāvīgi veikt atjauninājumus, atverot programmatūru eParakstītājs automātisks uzaicinājums veikt atjauninājumu var neparādīties, tāpēc aicinām šī procesa organizēšanā iesaistīties IT drošības pārziņiem.

Ļoti apšaubāma pieeja no CERT.LV puses neinformēt IT drošības pārziņus par ievainojamības apdraudējuma smagumu, pat tiešā tekstā neuzrakstot, ka eParakstītājs atjaunošana nepieciešama ievainojamības novēršanai (tas netieši nojaušams tikai pēc fakta, ka CERT.LV ir pārpublicējusi LVRTC aicinājumu).

No eParakstītājs 3.0 izmaiņu vēstures:

Versija 1.3.9, 2017-01-27
Kļūdas labojums – aizliegta iespēja izmantot iekšējo XML struktūru.

Avoti:
CERT.LV: https://cert.lv/lv/2017/02/iznakusas-nedelas-zinas-par-drosibas-incidentiem-nr-4-2017
LVRTC: https://www.eparaksts.lv/lv/palidziba/lejupielades/eparakstitajs-3/eparakstitajs-3-0-vesture/

2017-02-10  »  edgars

  1. randomo
    11 February 2017 @ 14:32

    Izklausās pēc XXE. Pārbaudot parakstītu dokumentu noved pie RCE (tikai minējums).

  2. Anonymous
    24 February 2017 @ 23:55

    Atbildīgu ievainojamību atklāšanas procesa ietvaros 2016. gada nogalē CERT.LV saņēma ziņu par XXE ievainojamību dokumentu elektroniskai parakstīšanai nepieciešamajā programmatūrā eParakstītājs un Java bibliotēkās.

    Atklātā ievainojamība (CVE-2017-6055) neapdraudēja eParakstītā dokumenta nemainīgumu un integritāti un pašu eParakstīšanas procesu kā tādu. Izmantojot ievainojamību, būtu iespējams uzbrukums eParaksta lietotājiem, attālināti piekļūstot lietotāja failiem, bet izmantojot Java bibliotēkas, arī servera failiem. Minētā ievainojamība darbojās gan Windows, gan Linux vidē.
    CERT.LV veica ievainojamības novēršanas koordinēšanu, kā rezultātā ievainojamība tika novērsta, izdodot jaunāko eParakstītāja versiju 1.3.9.

    Programmatūras ievainojamību ir atklājis IT drošības speciālists Oskars Veģeris, kas jau iepriekš veiksmīgi un saskaņā ar atbildīgas ievainojamības atklāšanas labo praksi sadarbojies ar CERT.LV un LVRTC programmatūras drošības testēšanā. Par atklāto nepilnību tika informēts CERT.LV, kā arī sertifikācijas pakalpojumu sniedzējs – VAS LVRTC.

    Iesaistīto pušu rīcībā nav informācijas par gadījumiem, kad kāds ļaunprātīgi būtu izmantojis šo ievainojamību.

    https://www.eparaksts.lv/lv/jaunumi/noversta-ievainojamibu-programmatura-eparakstitajs/

Re: CERT.LV aicina atjaunot eParakstītājs programmatūru







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>