Skip to main content

Data: 2022/10/11

Eragindako baliabideak: 

  • FortiTester, bertsioak: 
    • 7.1.0 eta 7.0.0;
    • 4.2.0, 4.1.0 eta 4.1.1 bitartean eta 4.0.0;
    • 3.9.0 eta 3.9.1 bitartean, 3.8.0, 3.7.0 eta 3.7.1 bitartean, 3.6.0, 3.5.0 eta 3.5.1 bitartean, 3.4.0, 3.3.0 eta 3.3.1 bitartean, 3.2.0, 3.1.0 eta 3.0.0:
    • 2.9.0, 2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0 eta 2.4.1 bitartean eta 2.3.0.

Azalpena: 

Fortinetek bere FortiTester produktuaren kalteberatasun kritiko bat jakinarazi du: autentifikatu gabeko urruneko erasotzaile bati aukera eman diezaioke azpiko shell-ean komando arbitrario bat exekutatzeko.

Konponbidea: 

    • Eguneratu FortiTester bertsio hauetara: 
    • 7.2.0 edo berriagoa,
    • 7.1.1 edo berriagoa,
    • 4.2.1 edo berriagoa,
    • 3.9.2 edo berriagoa.

Xehetasunak: 

Kontsola, Telnet eta FortiTester-eko SSHren saio-hasierako osagaietako sistema eragileko komandoetan erabilitako elementu bereziak era desegokian neutralizatuz gero  ('OS Command Injection'), autentifikatu gabeko urruneko erasotzaile batek aukera izan dezake azpiko shell-ean komando arbitrario bat exekutatzeko. CVE-2022-33873 identifikatzailea esleitu zaio kalteberatasun horri.

 

Partekatu

Linkedin partekatu