Fortinet опублікував нові поради щодо безпеки щодо вразливостей у FortiOS і FortiSandbox. Значення CVSS знаходяться між 7.3 і 7.9 і тому вважаються дуже небезпечними. Менеджери з ІТ-безпеки повинні негайно вносити оновлення.
Рекомендації щодо безпеки Fortinet детально описують надзвичайно небезпечні вразливості та можливі наслідки.
FortiOS – Незаконна авторизація через профіль адміністратора Prof (CVSSv3 7.4)
Проблема: Вразливість неналежної авторизації [CWE-285] у компоненті WEB-UI FortiOS може дозволити автентифікованому зловмиснику з профілем prof-admin виконувати додаткові дії.
рішення: На FortiOS 7.4 це не впливає, оновлення FortiOS 7.2 7.2.0 до 7.2.4 потрібно оновити до 7.2.5 або вище, FortiOS 7.0 7.0.0 до 7.0.11 потрібно оновити до 7.0.12 або вище.
FortiSandbox – відображені міжсайтові сценарії (XSS) на кінцевій точці візуалізації File OnDemand (CVSSv3 7.3)
Проблема: Неправильна нейтралізація введення під час генерації веб-сторінки («міжсайтовий сценарій») уразливості [CWE-79] у FortiSandbox може дозволити автентифікованому зловмиснику здійснити атаку міжсайтового сценарію за допомогою створених запитів HTTP.
рішення: FortiSandbox 2.4.1 до 3.2 потрібно перенести на фіксовану версію. Fortinet 4.0.0 до 4.0.3 вимагає оновлення до 4.0.4. Fortinet 4.2.0 до 4.2.5 і 4.4.0 до 4.4.1 потребують оновлення до 4.4.2 або новішої версії.
FortiSandbox – довільне видалення файлів (CVSSv3 7.9)
Проблема: Неправильне обмеження імені шляху до обмеженого каталогу («Path Traversal») уразливості [CWE-22] у FortiSandbox може дозволити зловмиснику з низьким рівнем привілеїв видаляти довільні файли за допомогою створених http-запитів. Це стосується всіх версій FortiSandbox від 2.4 до 3.2, від 4.0.0 до 4.0.3, від 4.2.0 до 4.2.5 і від 4.4.0
рішення: Захищеними версіями є FortiSandbox 4.0.4, 4.2.6 і 4.4.2 або новіші версії. Оновлення доступні для завантаження.
FortiSandbox – XSS під час видалення кінцевої точки (CVSSv3 7.3)
Проблема: Уразливість [CWE-79] у FortiSandbox, яка нейтралізує численні неправильні введення під час створення веб-сайту («міжсайтовий сценарій»), може дозволити автентифікованому зловмиснику здійснити атаку міжсайтового сценарію за допомогою створених HTTP-запитів.
рішення: FortiSandbox 2.4.1 до 3.2 потрібно перенести на фіксовану версію. Fortinet 4.0.0 до 4.0.3 вимагає оновлення до 4.0.4. Fortinet 4.2.0 до 4.2.5 і 4.4.0 до 4.4.1 потребують оновлення до 4.4.2 або новішої версії.
Подальші поради щодо безпеки, описи та відповідні оновлення можна знайти на Fortinet.
Більше на Sophos.com
Про Fortinet Fortinet (NASDAQ: FTNT) захищає найцінніші активи деяких найбільших у світі підприємств, постачальників послуг і державних установ. Ми пропонуємо нашим клієнтам повну видимість і контроль над поверхнею атаки, що розширюється, а також здатність задовольняти постійно зростаючі вимоги до продуктивності сьогодні та в майбутньому. Лише платформа Fortinet Security Fabric може вирішити найважливіші проблеми безпеки та захистити дані в усій цифровій інфраструктурі, будь то мережа, програма, багатохмарне чи периферійне середовище. Fortinet є №1 серед більшості пристроїв безпеки, що поставляються. Понад 455.000 XNUMX клієнтів довіряють Fortinet захистити свій бренд. Fortinet Network Security Expert (NSE) Institute є одночасно технологічною та тренінговою компанією та має одну з найбільших і найповніших навчальних програм із кібербезпеки в галузі. Для отримання додаткової інформації відвідайте www.fortinet.de, блог Fortinet або FortiGuard Labs.