Fortinet, FortiWeb, FortiOS, FortiOS ve FortiProxy’yi Etkileyen 40 Kusur İçin Yamalar Yayınladı


19 Şubat 2023Ravie LakshmananAğ Güvenliği / Güvenlik Duvarı

Fortinet

Fortinet, aralarında FortiWeb, FortiOS, FortiNAS ve FortiProxy’nin de bulunduğu yazılım serisindeki 40 güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

40 kusurdan ikisi Kritik, 15’i Yüksek, 22’si Orta ve biri Düşük olarak derecelendirilmiştir.

Listenin başında FortiNAC ağ erişim kontrolü çözümünde (CVE-2022-39952, CVSS puanı: 9.8) bulunan ve rastgele kod yürütülmesine yol açabilecek ciddi bir hata var.

“Dosya adı veya yol güvenlik açığının harici kontrolü [CWE-73] Fortinet, bu hafta başında bir danışma belgesinde “FortiNAC web sunucusunda bulunan bir sürüm, kimliği doğrulanmamış bir saldırganın sistemde rasgele yazma yapmasına izin verebilir” dedi.

Güvenlik açığından etkilenen ürünler şu şekildedir:

  • FortiNAC sürüm 9.4.0
  • FortiNAC sürüm 9.2.0 ila 9.2.5
  • FortiNAC sürüm 9.1.0 ila 9.1.7
  • FortiNAC 8.8 tüm sürümler
  • FortiNAC 8.7 tüm sürümler
  • FortiNAC 8.6 tüm sürümler
  • FortiNAC 8.5 tüm sürümleri ve
  • FortiNAC 8.3 tüm sürümleri

Yamalar FortiNAC 7.2.0, 9.1.8, 9.1.8 ve 9.1.8 sürümlerinde yayınlandı. Sızma testi firması Horizon3.ai söz konusu “yakında” kusur için bir kavram kanıtı (PoC) kodu yayınlamayı planlıyor ve bu da kullanıcıların güncellemeleri uygulamak için hızlı hareket etmesini zorunlu kılıyor.

Dikkat edilmesi gereken ikinci kusur, FortiWeb’in proxy arka plan programında (CVE-2021-42756, CVSS puanı: 9.3) bulunan ve kimliği doğrulanmamış bir uzak saldırganın özel olarak hazırlanmış HTTP istekleri aracılığıyla rastgele kod yürütmesini sağlayabilen bir dizi yığın tabanlı arabellek taşmasıdır.

CVE-2021-42756, FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 ve 7.0.0 sürümlerinde bulunan düzeltmelerle FortiWeb’in aşağıdaki sürümlerini etkiler –

  • FortiWeb sürümleri 6.4 tüm sürümler
  • FortiWeb sürümleri 6.3.16 ve altı
  • FortiWeb sürümleri 6.2.6 ve altı
  • FortiWeb sürümleri 6.1.2 ve altı
  • FortiWeb sürümleri 6.0.7 ve altı ve
  • FortiWeb sürümleri 5.x tüm sürümler

Fortinet, her iki kusurun da ürün güvenlik ekibi tarafından şirket içinde keşfedildiğini ve rapor edildiğini söyledi. İlginç bir şekilde, CVE-2021-42756’nın da 2021’de tanımlandığı ancak şimdiye kadar kamuya açıklanmadığı görülüyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link