شرکت فورتینت (Fortinet, Inc) در دو ماه اخیر با انتشار بهروزرسانی، ۱۰ آسیبپذیری را در چند محصول خود ترمیم کرده است.
۰
منبع : مرکز مدیریت راهبردی افتا
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این بهروزرسانیها، دامنه گستردهای از ضعفهای امنیتی نظیر اجرای کد بهصورت از راه دور (Remote Code Execution)، تزریق SQL و از کاراندازی سرویس (Denial of Service - به اختصار DoS) را برطرف میکنند.
فهرست محصولات مشمول این بهروزرسانیها بهشرح زیر است:
FortiDeceptor
FortiGate
FortiIsolator
FortiProxy
FortiWeb
عمر برخی از آسیبپذیریهای ترمیم شده توسط این بهروزرسانیها به سال ۲۰۱۸ برمیگردد. برای مثال میتوان به CVE-۲۰۱۸-۱۳۳۸۱ اشاره کرد که مهاجم را به اجرای حمله DoS بر ضد FortiProxy SSL VPN، تنها با ارسال یک درخواست دستکاری شده POST قادرمیکند. بهرهجویی (Exploit) از CVE-۲۰۱۸-۱۳۳۸۱ بهصورت از راه دور و بدون نیاز به هر گونه اصالتسنجی ممکن گزارش شده است.
یا CVE-۲۰۱۸-۱۳۳۸۳ که سوءاستفاده از آن با ارسال یک صفحه وب حاوی کدهای مخرب JavaScript به FortiOS SSL VPN امکان بروز DoS و اجرای کد بهصورت از راه دور را برای مهاجم فراهم میکند.
از دیگر آسیبپذیریهای بااهمیت ترمیمشده توسط بهروزرسانیهای اخیر فورتینت میتوان به موارد زیر اشاره کرد:
CVE-۲۰۲۰-۲۹۰۱۵: ضعفی از نوع تزریق SQL در رابط کاربری FortiWeb که بهرهجویی از آن از طریق ارسال یک درخواست با سرایند Authorization حاوی داده مخرب، مهاجم را قادر به اجرای پرسوجو (Query) یا فرامین SQL بهصورت از راه دور میکند.
CVE-۲۰۲۰-۲۹۰۱۶: باگی از نوع Stack-based Buffer Overflow در FortiWeb که مهاجم را قادر به رونویسی محتوای Stack و بهطور بالقوه اجرای کد میکند.
لازم به ذکر است علیرغم آنکه فورتینت به برخی آسیبپذیریهای مذکور ازجمله CVE-۲۰۲۰-۲۹۰۱۵ شدت حساسیت متوسط (Medium) را تخصیص داده اما مؤسسه NVD شدت آنها را حیاتی (Critical) گزارش کرده است. برای مثال، در سایت NVD، شدت حساسیت CVE-۲۰۲۰-۲۹۰۱۵ مقدار ۹,۸ از ۱۰ اعلام شده اما در مقابل در توصیهنامه فورتینت، مقدار ۶,۴ ثبت شده است.
دلیل این اختلاف، جدیدتر بودن نسخه استاندارد CVSS (نسخه ۳.۱) مورد استفاده NVD در مقایسه با نسخه CVSS مورد استناد فورتینت (نسخه ۳) است. لذا توصیه میشود در اولویتبندی اعمال بهروزرسانیها و ارزیابی ریسک، صرفاً به توصیهنامههای فورتینت اکتفا نشود.
توصیهنامههای فورتینت در لینکهای زیر قابل دریافت و مطالعه است:
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۷۷
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۳
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۶
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۵
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۴
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۰۳
https://www.fortiguard.com/psirt/FG-IR-۲۰-۰۱۱
https://www.fortiguard.com/psirt/FG-IR-۲۰-۲۲۹
https://www.fortiguard.com/psirt/FG-IR-۲۰-۲۳۲
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۲
کد مطلب : 17535
https://aftana.ir/vdcammn6.49n0e15kk4.htmlaftana.ir/vdcammn6.49n0e15kk4.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵