Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: Zranitelnosti Fortinet CVE-2017-3126 a CVE-2017-3128 1.0

05. 06. 2017

CVE-2017-3126

FortiAnalyzer, FortiManager Open Redirect Vulnerability

Shrnutí

WebUI FortiAnalyzeru a FortiManageru přijímají uživatelem kontrolovaný vstup, který obsahuje odkaz na externí stránku, a tento odkaz použijí k přesměrování.

Dopad

Přímé přesměrování na externí webovou stránku.

Postižené produkty

  • FortiAnalyzer verze 5.4.0 až 5.4.2
  • FortiManager verze 5.4.0 až 5.4.2

Předcházejících verzí FortiAnalyzeru ani FortiManageru se tato zranitelnost netýká.

Řešení

  • FortiAnalyzer – upgradovat na verzi 5.4.3
  • FortiManager – upgradovat na verzi 5.4.3

CVE-2017-3128

FortiOS stored XSS vulnerability in the policy global-label parameter

Shrnutí

FortiOS je náchylný k Cross-Site Scripting zranitelnosti kvůli špatně ošetřenému parametru, global-label, ve skrytém konfiguračním nastavení CLI.

Dopad

Provedení neautorizovaného kódu nebo příkazu.

Postižené produkty

  • FortiOS 5.2 - od 5.2.0 do 5.2.10
  • FortiOS 5.0 FortiOS 4.3 není zranitelný

Řešení

  • FortiOS 5.0 a 5.2 – upgradovat na verzi 5.2.11 nebo vyšší

U systémů ve správě Corpus Solutions provedeme v nejbližší době analýzu zranitelnosti a případně učiníme opatření pro eliminaci tohoto problému. Zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.