Fortinet kompaniýasy örän howply gowşaklygy (CVE-2021-32589) düzetmek üçin FortiManager we FortiAnalyzer tory dolandyrmak boýunça çözgütleri üçin täzelenmeleri çykardy. Gowşaklygyň ulanylmagy iň ýokary hukuklar bilen erkin kod ýerine ýetirmek mümkinçiligini berýär.

FortiManager we FortiAnalyzer önümleri 100 müňe çenli enjamlary bolan gurşawlary üçin kärhana derejede tory dolandyrmak boýunça çözgütleridir. Edaralar bu önümleri tora baglanan enjamlary gurnamak we sazlamak arkaly dolandyrmak, şeýle hem howplary ýüze çykarmak we aradan aýyrmak üçin döredilen log ýazgylary jemlemek we seljermek üçin ulanyp bilýärler.

Boşadylan ýady ulanmak (use-after-free) gowşaklygy FortiManager we FortiAnalyzer önümleriň fgfmsd daemon düzüm böleginde bolup, programmalar tarapyndan boş diýip nädogry bellenen ýat böleginiň ulanylmagy bilen baglanyşykly bolup durýar. Enjamyň FGFM portuna ýörite döredilen ýüzlenmeleriň iberilmegi awtorizasiýa bolmadyk ýaramaz niýetli ulanyjy üçin uzaklykdan superuser hukuklary bilen rugsat berilmedik kody ýerine ýetirmek mümkinçiligini berip biler.

Gowşaklyk we täzelenmeler barada goşmaça maglumaty Fortinet howpsuzlyk maslahatynda görüp bilersiňiz – FG-IR-21-067.

Çeşme: securitylab.ru