Deutsche Telekom julkistaa tietoturvahaavoittuvuuksia
Deutsche Telekomin tietoturva-asiantuntijat ovat löytäneet ja raportoineet useita haavoittuvuuksia eri ohjelmistokirjastoissa. Yhtiö julkaisee tiedot vastuullisesti korjausten jälkeen.
Deutsche Telekom julkaisi tietoja useista tietoturvahaavoittuvuuksista, jotka sen omat turvallisuustutkijat ovat löytäneet käytössä olevista ohjelmistoratkaisuista. Yhtiö noudattaa vastuullisen julkaisun periaatetta eli tiedot julkaistaan vasta sen jälkeen, kun haavoittuvuudet on korjattu ja asianomaiset osapuolet ovat antaneet suostumuksensa.
Viimeisimpiin löydöksiin kuuluvat kaksi etäkäyttöistä puskurin ylivuoto -haavoittuvuutta SharkSSL TLS -kirjastossa. Ensimmäinen, CVE-2024-53379, koskee Client Hello -kättelyprosessointia ja löydettiin joulukuussa 2024 raportoituna. Toinen, CVE-2024-48075, liittyy Client Key Exchange -kättelyyn ja julkaistiin marraskuussa 2024.
Yhtiö raportoi myös kriittisestä palvelunestohaavoittuvuudesta (CVE-2023-24609) MatrixSSL TLSv1.3 -kirjaston pre-shared-key -käsittelyssä, joka löydettiin joulukuussa 2023. Lisäksi havaittiin kriittinen DNS-vuotohaavoittuvuus Strongswan-mobiilivpn-asiakasohjelmassa (löydetty joulukuussa 2023) ja toinen kriittinen puskurin ylivuoto -haavoittuvuus MatrixSSL TLSv1.3 -palvelimen viestinkäsittelyssä (CVE-2022-43974, julkaistu tammikuussa 2023).
Kaikki löydökset tehtiin Deutsche Telekom Security GmbH:n ja Deutsche Telekom AG:n toimesta käyttäen moderneja fuzzing-menetelmiä. Yhtiö pyrkii edistämään tietoturvaa julkaisemalla teknisiä kommentteja ja CERT-varoittajia, jotka voivat auttaa muita organisaatioita tunnistamaan ja korjaamaan vastaavia uhkia.