8.3высокая
BDU:2022-02333
Уязвимость процедуры проверки прошивки операционных систем FortiOS. межсетевого экрана веб-приложений FortiWeb, Ethernet-коммутаторов FortiSwitch и прокси-сервера FortiProxy, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-15
Описание
Уязвимость процедуры проверки прошивки операционных систем FortiOS, межсетевого экрана веб-приложений FortiWeb, Ethernet-коммутаторов FortiSwitch и прокси-сервера FortiProxy связана с нарушением начальной границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного образа прошивки
Затрагиваемое ПО и версии
FortiOS (от 6.2.0 до 6.2.9 включительно)FortiSwitch (от 6.0.0 до 6.0.7 включительно)FortiProxy (от 1.2.0 до 1.2.13 включительно)FortiProxy (от 1.1.0 до 1.1.6 включительно)FortiProxy (от 1.0.0 до 1.0.7 включительно)FortiOS (от 5.6.0 до 5.6.14 включительно)FortiOS (7.0.0)FortiProxy (7.0.0)FortiOS (от 6.4.0 до 6.4.6 включительно)FortiProxy (от 2.0.0 до 2.0.7 включительно)FortiWeb (от 6.3.0 до 6.3.15 включительно)FortiOS (от 5.4.0 до 5.4.13 включительно)FortiOS (от 5.2.0 до 5.2.15 включительно)FortiOS (от 5.0.0 до 5.0.14 включительно)FortiOS (от 6.0.0 до 6.0.13 включительно)FortiProxy (7.0.1)FortiWeb (от 5.8.0 до 5.8.3 включительно)FortiWeb (от 5.8.5 до 5.8.7 включительно)FortiWeb (от 5.7.0 до 5.7.3 включительно)FortiWeb (от 5.6.0 до 5.6.2 включительно)FortiWeb (от 5.5.0 до 5.5.7 включительно)FortiWeb (5.4.1)FortiWeb (5.4.0)FortiWeb (от 5.3.0 до 5.3.9 включительно)FortiWeb (от 6.0.0 до 6.0.7 включительно)FortiWeb (от 6.1.0 до 6.1.2 включительно)FortiWeb (от 6.2.0 до 6.2.7 включительно)FortiWeb (6.4.1)FortiWeb (6.4.0)FortiSwitch (от 6.2.0 до 6.2.7 включительно)
Способ устранения
Для сертифицированных ПАК «FortiGate»
Эксплуатация уязвимости невозможна, т.к. установка сертифицированной версии FortiOS осуществляется производителем на АРМ, не имеющих возможности доступа из-за пределов ЛВС производства.
Для несертифицированных ПАК «FortiGate»
Использование рекомендаций производителя:
https://fortiguard.com/advisory/FG-IR-21-046
Оценка CVSS
| Балл | 8.3 — высокая опасность |
Источники и патчи