Fortinet пусна актуализации за стари уязвимости

Fortinet пусна актуализации за сигурност, за да отстрани 40 уязвимости в своята софтуерна гама, включително FortiWeb, FortiOS, FortiNAC и FortiProxy.

Две от 40-те уязвимости са оценени като критични, 15 са оценени като високи, 22 са оценени като средни, а една е оценена като ниска степен на сериозност.

Начело на списъка е сериозен бъг, намиращ се в решението за контрол на достъпа до мрежата FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до изпълнение на произволен код.

„Уязвимостта във външния контрол на името на файла или пътя [CWE-73] в уеб сървъра на FortiNAC може да позволи на неавтентифициран нападател да извърши произволен запис в системата“, заяви Fortinet в консултация по-рано тази седмица.

Продуктите, засегнати от уязвимостта, са следните.

  • FortiNAC версия 9.4.0
  • FortiNAC версия 9.2.0 до 9.2.5
  • FortiNAC версия 9.1.0 до 9.1.7
  • FortiNAC 8.8 – всички версии
  • FortiNAC 8.7 всички версии
  • FortiNAC 8.6 всички версии
  • FortiNAC 8.5 всички версии, и
  • FortiNAC 8.3 всички версии

Бяха пуснати пачове във версиите на FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8. Фирмата за тестване за проникване Horizon3.ai заяви, че планира да пусне код за доказване на концепцията (PoC) за дефекта „скоро“, поради което е наложително потребителите да действат бързо, за да приложат актуализациите.

Вторият недостатък, който трябва да се отбележи, е набор от препълване на буфера, базирано на стека, в прокси дiмона на FortiWeb (CVE-2021-42756, CVSS оценка: 9,3), което може да позволи на неаутентифициран отдалечен атакуващ да постигне произволно изпълнение на код чрез специално подготвени HTTP заявки.

CVE-2021-42756 засяга следните версии на FortiWeb, като поправките са налични във версиите FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0 –

  • FortiWeb версии 6.4 всички версии
  • FortiWeb версии 6.3.16 и по-нови
  • FortiWeb версии 6.2.6 и по-нови
  • FortiWeb версии 6.1.2 и по-нови
  • FortiWeb версии 6.0.7 и по-нови, и
  • FortiWeb версии 5.x всички версии

И двата недостатъка са вътрешно открити и докладвани от екипа по сигурността на продуктите, съобщиха от Fortinet. Интересно е, че CVE-2021-42756 също изглежда е бил идентифициран през 2021 г., но не е бил публично оповестен досега.

 

Източник: The Hacker News

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
Бъдете социални
Още по темата
08/03/2023

Нови предизвикателства пред...

Хибридната работа, която включва разпределяне на...
23/02/2023

Деветата среща на Cyber Sec...

На 21 февруари в зала „Йоханесбург“...
22/02/2023

WatchGuard пуска нова линия...

Задвижвани от архитектурата Unified Security Platform®...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!