Fortinet ने FortiOS और FortiSandbox में कमजोरियों पर नई सुरक्षा सलाह प्रकाशित की है। सीवीएसएस मान 7.3 और 7.9 के बीच हैं और इसलिए इन्हें अत्यधिक खतरनाक माना जाता है। आईटी सुरक्षा प्रबंधकों को तुरंत अपडेट करना चाहिए।
फोर्टिनेट की सुरक्षा सलाह अत्यधिक खतरनाक कमजोरियों और संभावित परिणामों का विस्तार से वर्णन करती है।
FortiOS - प्रोफेसर एडमिन प्रोफ़ाइल के माध्यम से अवैध प्राधिकरण (CVSSv3 7.4)
समस्या: FortiOS के WEB-UI घटक में एक अनुचित प्राधिकरण भेद्यता [CWE-285] प्रोफेसर-एडमिन प्रोफ़ाइल वाले एक प्रमाणित हमलावर को उन्नत कार्य करने की अनुमति दे सकती है।
समाधान: FortiOS 7.4 प्रभावित नहीं है, FortiOS 7.2 7.2.0 से 7.2.4 को 7.2.5 या उच्चतर में अद्यतन करने की आवश्यकता है, FortiOS 7.0 7.0.0 से 7.0.11 को 7.0.12 या उच्चतर में अपग्रेड करने की आवश्यकता है।
फोर्टिसैंडबॉक्स - फ़ाइल ऑनडिमांड रेंडरिंग एंडपॉइंट पर रिफ्लेक्टेड क्रॉस साइट स्क्रिप्टिंग (XSS) (CVSSv3 7.3)
समस्या: वेब पेज निर्माण के दौरान इनपुट का अनुचित निराकरण ("क्रॉस-साइट स्क्रिप्टिंग") फोर्टिसैंडबॉक्स में भेद्यता [सीडब्ल्यूई-79] एक प्रमाणित हमलावर को तैयार किए गए HTTP अनुरोधों के माध्यम से क्रॉस-साइट स्क्रिप्टिंग हमले का संचालन करने की अनुमति दे सकता है।
समाधान: FortiSandbox 2.4.1 से 3.2 को एक निश्चित संस्करण में स्थानांतरित करने की आवश्यकता है। फोर्टिनेट 4.0.0 से 4.0.3 के लिए 4.0.4 में अपग्रेड की आवश्यकता है। फोर्टिनेट 4.2.0 से 4.2.5 और 4.4.0 से 4.4.1 को 4.4.2 या बाद के संस्करण में अपग्रेड की आवश्यकता है।
FortiSandbox - मनमाना फ़ाइल विलोपन (CVSSv3 7.9)
समस्या: फोर्टीसैंडबॉक्स में एक प्रतिबंधित निर्देशिका ("पाथ ट्रैवर्सल") भेद्यता [सीडब्ल्यूई-22] के लिए पथनाम का अनुचित प्रतिबंध एक कम-विशेषाधिकार प्राप्त हमलावर को तैयार किए गए http अनुरोधों के माध्यम से मनमानी फ़ाइलों को हटाने की अनुमति दे सकता है। के सभी संस्करण प्रभावित हैं फोर्टिसैंडबॉक्स 2.4 से 3.2, संस्करण 4.0.0 से 4.0.3, संस्करण 4.2.0 से 4.2.5 और संस्करण 4.4.0
समाधान: सुरक्षित संस्करण FortiSandbox 4.0.4, 4.2.6 और 4.4.2 या बाद के संस्करण हैं। अपडेट डाउनलोड के लिए उपलब्ध हैं।
FortiSandbox - एंडपॉइंट हटाते समय XSS (CVSSv3 7.3)
समस्या: फोर्टिसैंडबॉक्स में भेद्यता [सीडब्ल्यूई-79], जो वेब पेज निर्माण ("क्रॉस-साइट स्क्रिप्टिंग") के दौरान कई अनुचित इनपुट को बेअसर करती है, एक प्रमाणित हमलावर को तैयार किए गए HTTP अनुरोधों के माध्यम से क्रॉस-साइट स्क्रिप्टिंग हमले को अंजाम देने की अनुमति दे सकती है।
समाधान: FortiSandbox 2.4.1 से 3.2 को एक निश्चित संस्करण में स्थानांतरित करने की आवश्यकता है। फोर्टिनेट 4.0.0 से 4.0.3 के लिए 4.0.4 में अपग्रेड की आवश्यकता है। फोर्टिनेट 4.2.0 से 4.2.5 और 4.4.0 से 4.4.1 को 4.4.2 या बाद के संस्करण में अपग्रेड की आवश्यकता है।
आगे की सुरक्षा सलाह, विवरण और संबंधित अपडेट फोर्टिनेट पर पाए जा सकते हैं।
Sophos.com पर अधिक
Fortinet के बारे में Fortinet (NASDAQ: FTNT) दुनिया के कुछ सबसे बड़े उद्यमों, सेवा प्रदाताओं और सरकारी एजेंसियों की सबसे मूल्यवान संपत्तियों की सुरक्षा करता है। हम अपने ग्राहकों को आज और भविष्य में बढ़ते हमले की सतह पर पूर्ण दृश्यता और नियंत्रण प्रदान करते हैं और लगातार बढ़ती प्रदर्शन आवश्यकताओं को पूरा करने की क्षमता प्रदान करते हैं। केवल फोर्टिनेट सिक्योरिटी फैब्रिक प्लेटफॉर्म सबसे महत्वपूर्ण सुरक्षा चुनौतियों का समाधान कर सकता है और पूरे डिजिटल इंफ्रास्ट्रक्चर में डेटा की रक्षा कर सकता है, चाहे वह नेटवर्क, एप्लिकेशन, मल्टी-क्लाउड या एज वातावरण में हो। Fortinet सबसे अधिक भेजे जाने वाले सुरक्षा उपकरणों के लिए #1 है। 455.000 से अधिक ग्राहक अपने ब्रांड की सुरक्षा के लिए फोर्टिनेट पर भरोसा करते हैं। प्रौद्योगिकी कंपनी और प्रशिक्षण कंपनी दोनों, फोर्टिनेट नेटवर्क सुरक्षा विशेषज्ञ (एनएसई) संस्थान उद्योग में सबसे बड़े और सबसे व्यापक साइबर सुरक्षा प्रशिक्षण कार्यक्रमों में से एक है। अधिक जानकारी के लिए, www.fortinet.de, Fortinet Blog या FortiGuard Labs पर जाएं।