Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: FortiOS Information Disclosure

29. 05. 2018

CVE-2017-14185

Verze: 1.0

Shrnutí

Chyba ve starších verzích FortiOS umožňuje uživatelům přihlášeným přes SSL VPN získat informace, ke kterým by neměli mít přístup.

Popis

Uživatel SSL VPN, který je přihlášený přes webový portál, může získat interní konfiguraci FortiOS (například adresy). Docílí toho dotazem se speciálně formátovaným URL.

Dopad

Odhalení interních informací FortiOS.

Zranitelné produkty

  • FortiOS 5.6.0 – 5.6.2
  • FortiOS 5.4.0 – 5.4.8
  • FortiOS 5.2 všechny verze

Řešení

Jednoznačným řešením je upgrade na vyšší verze produktů.

  • Pro větev 5.6.x doporučujeme upgradovat na 5.6.3 nebo vyšší.
  • Pro větev 5.4.x doporučujeme upgradovat na 5.4.9 nebo vyšší.
  • Pro ostatní verze doporučujeme upgradovat na výše zmíněné.