19 février 2023Ravie LakshmananSécurité réseau / Pare-feu

Fortinet

Fortinet a publié des mises à jour de sécurité pour remédier à 40 vulnérabilités dans sa gamme de logiciels, y compris FortiWeb, FortiOS, FortiNAS et FortiProxy, entre autres.

Deux des 40 défauts sont classés critiques, 15 sont classés élevés, 22 sont classés moyens et un est classé faible en gravité.

En tête de liste se trouve un bogue grave résidant dans la solution de contrôle d’accès au réseau FortiNAC (CVE-2022-39952, score CVSS : 9,8) qui pourrait conduire à l’exécution de code arbitraire.

« Un contrôle externe de la vulnérabilité du nom de fichier ou du chemin [CWE-73] dans le serveur Web FortiNAC peut permettre à un attaquant non authentifié d’effectuer des écritures arbitraires sur le système », Fortinet a dit dans un avis plus tôt cette semaine.

Publicité

Les produits impactés par la vulnérabilité sont les suivants –

  • FortiNAC version 9.4.0
  • FortiNAC versions 9.2.0 à 9.2.5
  • FortiNAC versions 9.1.0 à 9.1.7
  • FortiNAC 8.8 toutes versions
  • FortiNAC 8.7 toutes versions
  • FortiNAC 8.6 toutes versions
  • FortiNAC 8.5 toutes versions, et
  • FortiNAC 8.3 toutes versions

Des correctifs ont été publiés dans les versions FortiNAC 7.2.0, 9.1.8, 9.1.8 et 9.1.8. Cabinet de test d’intrusion Horizon3.ai a dit il prévoit de publier « bientôt » un code de preuve de concept (PoC) pour la faille, ce qui oblige les utilisateurs à agir rapidement pour appliquer les mises à jour.

Le deuxième défaut à noter est un ensemble de débordement de tampon basé sur la pile dans le démon proxy de FortiWeb (CVE-2021-42756score CVSS : 9,3) qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire via des requêtes HTTP spécialement conçues.

CVE-2021-42756 affecte les versions ci-dessous de FortiWeb, avec des correctifs disponibles dans les versions FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 et 7.0.0 –

  • FortiWeb versions 6.4 toutes les versions
  • FortiWeb versions 6.3.16 et inférieures
  • FortiWeb versions 6.2.6 et inférieures
  • FortiWeb versions 6.1.2 et inférieures
  • FortiWeb versions 6.0.7 et inférieures, et
  • FortiWeb versions 5.x toutes les versions

Les deux failles ont été découvertes en interne et signalées par son équipe de sécurité des produits, a déclaré Fortinet. Fait intéressant, CVE-2021-42756 semble également avoir été identifié en 2021 mais non divulgué publiquement jusqu’à présent.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Rate this post
Publicité
Article précédentNEWS : Junichi Suwabe et Fumiko Orikasa rejoignent Trigun Stampede Anime – Forum
Article suivantTehran 3: La série dramatique d’espionnage de Niv Sultan renouvelée sur Apple TV + pour une toute nouvelle saison, Hugh Laurie rejoint le casting
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici