☰

Atklāj ievainojamību programmatūrā eParakstītājs

Atbildīgu ievainojamību atklāšanas procesa ietvaros 2016. gada nogalē CERT.LV saņēma ziņu par XXE ievainojamību dokumentu elektroniskai parakstīšanai nepieciešamajā programmatūrā eParakstītājs un Java bibliotēkās.

Atklātā ievainojamība (CVE-2017-6055) neapdraudēja eParakstītā dokumenta nemainīgumu un integritāti un pašu eParakstīšanas procesu kā tādu. Izmantojot ievainojamību,  būtu iespējams uzbrukums eParaksta lietotājiem,  attālināti piekļūstot lietotāja failiem, bet izmantojot Java bibliotēkas, arī servera failiem. Minētā ievainojamība darbojās gan Windows, gan Linux vidē.
CERT.LV veica ievainojamības novēršanas koordinēšanu, kā rezultātā ievainojamība tika novērsta, izdodot jaunāko eParakstītāja versiju 1.3.9.

Programmatūras ievainojamību ir atklājis IT drošības speciālists Oskars Veģeris, kas jau iepriekš veiksmīgi un saskaņā ar atbildīgas ievainojamības atklāšanas labo praksi sadarbojies ar CERT.LV un LVRTC programmatūras drošības testēšanā. Par atklāto nepilnību tika informēts CERT.LV, kā arī sertifikācijas pakalpojumu sniedzējs -  VAS LVRTC.
Iesaistīto pušu rīcībā nav informācijas par gadījumiem, kad kāds ļaunprātīgi būtu izmantojis šo ievainojamību.
CERT.LV un LVRTC vēlas pateikties ievainojamības atklājējam Oskaram Veģerim.

Atbildīga ievainojamības atklāšana ir pasaulē ierasta prakse, kad IKT drošības nozares speciālisti, atklājot potenciālu ievainojamību kādā programmproduktā, informē par to tā īpašnieku, kā arī sadarbojas ar produkta turētājiem ievainojamības novēršanā un sabiedrības informēšanā. Šādi sociāli atbildīgā veidā tiek uzlabotas programmatūras, informācijas sistēmu un IKT infrastruktūras drošība.