6.8средняя
BDU:2022-02339
Уязвимость клиентской библиотеки TFTP операционных систем FortiOS, межсетевого экрана веб-приложений FortiWeb и прокси-сервера FortiProxy, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-15
Описание
Уязвимость клиентской библиотеки TFTP операционных систем FortiOS, межсетевого экрана веб-приложений FortiWeb и прокси-сервера FortiProxy связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданных аргументов командной строки
Затрагиваемое ПО и версии
FortiOS (от 6.2.0 до 6.2.9 включительно)FortiOS (от 6.4.0 до 6.4.7 включительно)FortiOS (от 7.0.0 до 7.0.2 включительно)FortiProxy (от 1.2.0 до 1.2.13 включительно)FortiProxy (от 1.1.0 до 1.1.6 включительно)FortiProxy (от 1.0.0 до 1.0.7 включительно)FortiOS-6K7K (6.4.2)FortiProxy (7.0.0)FortiOS-6K7K (6.4.6)FortiProxy (от 2.0.0 до 2.0.7 включительно)FortiWeb (от 6.3.0 до 6.3.16 включительно)FortiOS (от 6.0.0 до 6.0.13 включительно)FortiOS-6K7K (до 6.2.8 включительно)FortiProxy (7.0.1)FortiWeb (от 5.9.0 до 5.9.2 включительно)FortiWeb (от 5.8.0 до 5.8.3 включительно)FortiWeb (от 5.8.5 до 5.8.7 включительно)FortiWeb (от 5.7.0 до 5.7.3 включительно)FortiWeb (от 5.6.0 до 5.6.2 включительно)FortiWeb (от 5.5.0 до 5.5.7 включительно)FortiWeb (5.4.1)FortiWeb (5.4.0)FortiWeb (от 5.3.0 до 5.3.9 включительно)FortiWeb (от 5.2.0 до 5.2.4 включительно)FortiWeb (от 5.1.0 до 5.1.4 включительно)FortiWeb (от 5.0.0 до 5.0.6 включительно)FortiWeb (от 6.0.0 до 6.0.7 включительно)FortiWeb (от 6.1.0 до 6.1.2 включительно)FortiWeb (от 6.2.0 до 6.2.7 включительно)FortiWeb (6.4.1)
Способ устранения
Для сертифицированных ПАК «FotriGate»
Эксплуатация уязвимости возможна только в случаях нарушения условий эксплуатации, отраженных в эксплуатационных документах, так предполагаем действия авторизованного пользователя. Для исключения возможности эксплуатации уязвимости необходимо выполнять требования по эксплуатации, изложенные в эксплуатационных документах сертифицированных ПАК «FotriGate».
Для несертифицированных ПАК «FotriGate»
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-21-173
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи