Corpus Solutions Security Advisory: FortiOS Information Disclosure
29. 05. 2018
CVE-2017-14185
Verze: 1.0
Shrnutí
Chyba ve starších verzích FortiOS umožňuje uživatelům přihlášeným přes SSL VPN získat informace, ke kterým by neměli mít přístup.
Popis
Uživatel SSL VPN, který je přihlášený přes webový portál, může získat interní konfiguraci FortiOS (například adresy). Docílí toho dotazem se speciálně formátovaným URL.
Dopad
Odhalení interních informací FortiOS.
Zranitelné produkty
- FortiOS 5.6.0 – 5.6.2
- FortiOS 5.4.0 – 5.4.8
- FortiOS 5.2 všechny verze
Řešení
Jednoznačným řešením je upgrade na vyšší verze produktů.
- Pro větev 5.6.x doporučujeme upgradovat na 5.6.3 nebo vyšší.
- Pro větev 5.4.x doporučujeme upgradovat na 5.4.9 nebo vyšší.
- Pro ostatní verze doporučujeme upgradovat na výše zmíněné.
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál 