Tietoturvahaavoittuvuus korjattu sähköisessä asiointipalvelussa

Ylioppilastutkintolautakunnan lukioille suunnatussa sähköisessä asiointipalvelussa on ollut tietoturvahaavoittuvuus. Haavoittuvuuden avulla palveluun sisään vahvasti tunnistautunut rehtori, erityisopettaja, koulusihteeri tai opinto-ohjaaja olisi voinut syöttää mielivaltaista koodia palvelun tietokantaan ohjelmistorajapinnan kautta.

Järjestelmän lokitietojen perusteella on voitu todeta, ettei haavoittuvuutta ole hyödynnetty. Haavoittuvuus on korjattu.

Haavoittuvuus löydettiin, kun Ylioppilastutkintolautakunnan tietojärjestelmiä auditoitiin log4j-haavoittuvuuden osalta. Log4j-haavoittuvuuden ei todettu vaikuttavan Ylioppilastutkintolautakunnan järjestelmiin. 

Ylioppilastutkintolautakunta on sitoutunut alan yleisten käytäntöjen mukaisesti raportoimaan julkisesti tietojärjestelmiensä tietoturvahaavoittuvuuksista ja niiden aiheuttamista jatkotoimenpiteistä kolmen kuukauden sisällä haavoittuvuuden löytymisestä.

 

Alla tietotekniikka-asiantuntijan tarkempi raportti haavoittuvuudesta:

Sähköisen asiointipalvelun rajapinnassa on ollut SQL-injektion mahdollisuus. Haavoittuvuus tuli muutoksessa, jossa päivitettiin lodash versiosta 3.10.1 versioon 4.17.11. Kyseinen muutos tehtiin 19.9.2018. Uudessa lodash versiossa muuttui tapa, miten .find-metodia käytetään, ja päivityksen yhteydessä uutta tapaa ei otettu käyttöön. Tämä aiheutti sen, että tarkastus, joka esti SQL-injektion hajosi, koska .find-metodin kutsuminen vanhaan tapaan palautti aina tuloksen ja koodi pääsi tarkistuksesta eteenpäin.

SQL-injektion on voinut tehdä kirjautumalla sähköiseen asiointipalveluun käyttäjänä, jolla on rooli käyttää rajapintaa.

Haavoittuvuus havaittiin ja korjattiin 10.12.2021 poistamalla api endpoint, koska sille ei ollut enää tarvetta.

 

Lisätietoja:

Erityisasiantuntija Thomas Vikberg, etunimi.sukunimi@ylioppilastutkinto.fi, 0295 338241