ГлавнаяБаза уязвимостей БДУ → BDU:2016-00186
10критическая

BDU:2016-00186

Уязвимость операционной системы FortiOS, межсетевого экрана FortiAnalyzer, микропрограммного обеспечения коммутатора FortiSwitch, позволяющая нарушителю получить доступ к защищаемой информации
Опубликовано: 2016-01-28
Описание

Уязвимость операционной системы FortiOS, межсетевого экрана FortiAnalyzer, микропрограммного обеспечения коммутатора FortiSwitch связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации из-за отсутствия изменения пароля для SSH-авторизации

Затрагиваемое ПО и версии
FortiOS (от 4.1.0 до 4.1.10 включительно)FortiOS (от 4.2.0 от 4.2.15 включительно)FortiOS (от 4.3.0 до 4.3.16 включительно)FortiOS (от 5.0.0 до 5.0.7 включительно)FortiAnalyzer (от 5.0.5 до 5.0.11 включительно)FortiAnalyzer (от 5.2.0 до 5.2.4 включительно)FortiSwitch (от 3.3.0 до 3.3.2 включительно)
Способ устранения

Обновление программного обеспечения FortiOS до версий 4.3.17, 5.0.8 или более новых.

Обновление программного обеспечения FortiAnalyzer до версий 5.0.12, 5.2.5 или более новых.

Обновление программного обеспечения FortiSwitch до версии 3.3.3 или более новой

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://seclists.org/fulldisclosure/2016/Jan/26https://www.exploit-db.com/exploits/39224/http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortioshttp://www.securitytracker.com/id/1034663https://twitter.com/esizkur/status/686842135501508608http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerabilityhttp://packetstormsecurity.com/files/135225/FortiGate-OS-5.0.7-SSH-Backdoor.html
Проверьте безопасность своего сайта и почты → Полная проверка домена