安全模块自我修复
更新企业安全Fortinet公司已解决了各种各样的漏洞在其网络安全设备中。
FortiWeb beplay体育能用吗Web应用程序防火墙(WAF)旨在保护服务器免受基于Web的攻击,但本身很容易受到影响SQL注入问题。
该漏洞(CVE-2020-29015)在FortiWeb的用户界面中允许一个未经深思的远程攻击者在解决之前执行任意SQL查询或命令,beplay体育能用吗咨询从Fortinet承认。
正面技术的进攻安全团队PT Swarm的Andrey Medov发现并披露了这个问题。
缓冲区
Medov进一步发现Fortiweb有一个beplay体育能用吗缓冲区溢出问题(CVE-2020-29016)可能被利用来执行未经授权的命令。
独立基于堆栈的缓冲区溢出漏洞在FortiWebeplay体育能用吗b中,可以允许远程验证的攻击者通过使用精心设计的Cookie标头发送请求来使WAF的HTTPD守护程序线程崩溃。
该错误 - 另一个MEDOV发现 - 构成了拒绝服务的风险。
同一位研究人员还发现,FortiWeb中的格式字符串脆弱性略微不那么严重,可以允许经过身份验证的远程攻击者读取记忆内容并检索敏感数据。beplay体育能用吗
“我们通过我们的五边形与客户一起工作。” Medov告诉每日swbeplay2018官网ig。“我们确定了Fortinet设备并进行了检查,并发现了漏洞。
“ SQL注入可能被认为是最有趣的[发现],因为它可以在没有授权的情况下进行,而且至关重要。”
版本控制
格式字符串和SQL注入漏洞会影响FortiWeb版本6.3.5及以下,并通过6.3.6版解决。beplay体育能用吗
但是,根据供应商的说法,记忆处理问题都影响了FortiWeb版本6.3.7及以下。beplay体育能用吗
这些特殊的缺陷仅通过升级到FortiWeb版本6.3.8或更高或从FortiWeb版本6.2.3及以下到6.2.4的升级来解决,beplay体育能用吗以供早期开发火车上的那些用户。
实用的结果似乎是用户应该更新到FortiWeb 6.3.8是安全的。beplay体育能用吗
Medov说:“总的来说,这是一个充满挑战但值得一提的事情,可以揭示安全供应商产品的脆弱性,因为我们正在帮助客户和更广泛的安全界改善他们的防御能力。”
除了这个四重奏的缺陷外,Fortinet还解决了关键OS命令线注入漏洞作为同一补丁批次的一部分,在其Fortideceptor系列中,全部在星期二(1月5日)发布。
本文已更新,包括来自正面技术的评论。
