Haavoittuvuus2/2023CVSS 9.3CVE-2023-25610 (Ulkoinen linkki)
Fortinet julkaisi FortiOS-ohjelmistoon päivityspaketit, jotka korjaavat kriittiseksi luokitellun haavoittuvuuden.
Muistin käsittelyyn liittyvää kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja kohdelaitteella.
Samassa yhteydessä julkaistiin päivityksiä myös useisiin muihin vaikutuksiltaan vähäisempiin haavoittuvuuksiin Fortinetin tuotteissa.
Kohde
- Verkon aktiivilaitteet
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
FortiOS versiot 7.2.0 - 7.2.3
FortiOS versiot 7.0.0 - 7.0.9
FortiOS versiot 6.4.0 - 6.4.11
FortiOS versiot 6.2.0 - 6.2.12
FortiOS sarjan 6.0 kaikki versiot
FortiProxy versiot 7.2.0-7.2.2
FortiProxy versiot 7.0.0-7.0.8
FortiProxy versiot 2.0.0-2.0.11
FortiProxy sarjan 1.2 kaikki versiot
FortiProxy sarjan 1.1 kaikki versiot
Mistä on kysymys?
Päivitä FortiOS versiot 7.2.0 - 7.2.3 versioon 7.2.4 tai tätä uudempaan
Päivitä FortiOS versiot 6.4.0 - 6.4.11 versioon 6.4.12 tai tätä uudempaan
Päivitä FortiOS versiot 6.2.0 - 6.2.12 versioon 6.2.13 tai tätä uudempaan
Päivitä FortiOS-6K7K versiot 7.0.0 - 7.0.9 versioon 7.0.10 tai tätä uudempaan
Päivitä FortiOS-6K7K versiot 6.4.0 - 6.4.11 versioon 6.4.12 tai tätä uudempaan
Päivitä FortiOS-6K7K versiot 6.2.0 - 6.2.12 versioon 6.2.13 tai tätä uudempaan
Päivitä FortiProxy versiot 7.2.0-7.2.2 versioon 7.2.3 tai tätä uudempaan
Päivitä FortiProxy versiot 7.0.0-7.0.8 versioon 7.0.9 tai tätä uudempaan
Päivitä tulevaan FortiProxy-versioon 2.0.12 tai tätä uudempaan
Haavoittuvuuden vaikutukset rajoittuvat palvelunestotilaan osassa FortiGate- ja FortiWiFi-laitemalleja. Katso tarkemmat laitetiedot valmistajan tiedotteesta.
Mikäli päivittäminen ei ole mahdollista, voi haavoittuvuuden aiheuttamaa riskiä vähentä rajaamalla pääsyä FortiOS -hallintakomponenttiin kunnes päivitys voidaan asentaa.
Mitä voin tehdä?
Korjattu listaukeen haavoittuvista ohjelmistoista, että haavoittuvuus koskee myös FortiOS versiota 6.4.11