Fortinet örän howply gowşaklyklaryny düzetdi
Düýn, Fortinet kompaniýasy FortiWeb, FortiGate we FortiDeceptor önümleri üçin 6 sany howpsuzlyk maslahatlaryny çap etdi. Öndürijiniň saýtynda goýlan maglumata görä, düzedilen gowşaklyklar gizlin maglumatlary almak, ulgamda «hyzmat etmekden ýüz öwürmek» ýagdaýyny getirmek ýa-da gowşak enjamy döwmek mümkinçiligini berýär.
FortiWeb torara ekranyň gowşaklyklaryna aýratyn üns bermek gerek. CVE-2020-29016 belgili gowşaklyk awtorlaşdyrylmadyk ulanyjy üçin uzaklykdan maglumat gurluşynyň düzümini göçürip almak we şahadatnamanyň uzyn ady bilen ýörite döredilen ýüzlenmäni ibermek arkaly erkin kod ýerine ýetirmek mümkinçiligini berýär.
CVE-2020-29018 belgili format setiriň gowşaklygy awtorlaşdyrylan ulanyjy üçin ýadyň düzümini okamak we redir parametriň kömegi bilen gizlin maglumatlary almak we uzaklykdaky serwerde erkin kod ýerine ýetirmek mümkinçiligini berýär.
FortiWeb torara ekranyň CVE-2020-29019 belgili buferiň aşa dolmagy gowşaklygy uzaklykdan awtorlaşdyrylmadyk ulanyjy üçin ýörite döredilen cookie ady bilen ýüzlenme iberip, HTTP Daemon programmanyň işinde näsazlyk döretmek mümkinçiligini berýär.
FortiWeb torara ekranyň ulanyjy interfeýsinde CVE-2020-29015 belgili SQL-inýeksiýa gowşaklygy awtorlaşdyrylmadyk ulanyjy üçin erkin SQL ýüzlenmeleri ýerine ýetirmek we artykmaç hukuklaryň kömegi bilen gizlin maglumatlary, şol sanda administratoryň heş açar sözüni aýan etmek mümkinçiligini berýär.
FortiWeb torara ekranyň ähli gowşaklyklary Positive Technologies kompaniýasyndan Andreý Medowyý tarapyndan ýüze çykaryldy. Gowşaklyklary düzetmek üçin öndürijiniň saýtyndan täzelenme gurnamaly.
Çeşme: securitylab.ru
07 Ýanwar 2021