2023-2473: FortiAnalyzer, FortiManager: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-10-12 08:46)
- Neues Advisory
Betroffene Software
Netzwerk
Systemsoftware
Betroffene Plattformen
Hardware
FortiNet
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Daten zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Eine Schwachstelle ermöglicht einem Angreifer im benachbarten Netzwerk das Ausspähen von Informationen. Und mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Dateien zu löschen, beliebige Kommandos auf der Shell und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Im Zuge der heutigen Veröffentlichung werden Schwachstellen in den FortiAnalyzer und FortiManager Versionszweigen 6.0, 6.2, 6.4, 7.0, 7.2 und 7.4 benannt, die in verschiedenen Versionen behoben werden. Sowohl in den 6.0er, 6.2er, 6.4er und 7.0er Versionen existieren Schwachstellen für die kein Sicherheitsupdate verfügbar ist. Die Version 7.4.1 für FortiManager und die Version 7.2.4 für FortiAnalyzer und FortiManager beheben alle referenzierten Schwachstellen oder sind von diesen nicht betroffen. Die FortiAnalyser Version 7.4.1 behebt fast alle Schwachstellen mit Ausnahme der Pfad-Traversierungs-Schwachstelle CVE-2023-4279.
Schwachstellen:
CVE-2023-25607
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausführen beliebiger KommandosCVE-2023-41679
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausspähen von InformationenCVE-2023-41838
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Löschen von DateienCVE-2023-42782
Schwachstelle in FortiAnalyzer ermöglicht Manipulation von DatenCVE-2023-42787
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausspähen von InformationenCVE-2023-42788
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-42791
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-44249
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-44256
Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.