Компания «Национальный Инновационный Центр», являясь партнером Fortinet Inc., представляет разъяснения об уязвимости SSL VPN программного обеспечения FortiClient for Linux (разработчик — Fortinet Inc.).
Сведения об уязвимости:
Описание уязвимости
|
Уязвимость SSL VPN программного обеспечения FortiClient for Linux связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить произвести замену subproc файла другим (в том числе исполняемым) файлом и осуществить его запуск от имени учетной записи с root-привилегией
|
Наименование ПО
|
FortiClient for Linux
|
Версия ПО
|
Cовместимая с FortiOS до 5.4.3 включительно
|
Тип ПО
|
Программное обеспечение для защиты конечных устройств (Windows, Linux, Mac, IOS и Android)
|
Операционные системы и аппаратные платформы
|
Операционная система Linux, платформа X86
|
Тип ошибки
|
Разрешения, привилегии и контроль доступа
|
Идентификатор типа ошибки
|
CWE-264
|
Класс уязвимости
|
Уязвимость кода
|
Дата выявления
|
27.05.2017
|
Базовый вектор уязвимости
|
AV:N/AC:L/Au:N/C:C/I:C/A:C
|
Уровень опасности уязвимости
|
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
|
Статус уязвимости
|
Подтверждена производителем
|
Информация об устранении
|
Уязвимость устранена
|
Возможные меры по устранению уязвимости
|
Использование рекомендаций: https://fortiguard.com/psirt/FG-IR-16-041
|
Ссылки на источники
|
https://fortiguard.com/psirt/FG-IR-16-041
http://bdu.fstec.ru/vul/2017-01423 http://www.securityfocus.com/bid/97478
|
Идентификаторы других систем описаний уязвимостей
|
CVE: CVE-2016-8497
BID: BID ID:97478
|
Компания «Национальный Инновационный Центр» уведомляет пользователей сертифицированных программно-аппаратных комплексов FortiGate под управлением операционной системы FortiOS 5.4.1, что уязвимость не является критичной в отношении сертифицированных программно-аппаратных комплексов FortiGate.
В результате анализа возможного влияния уязвимости на сертифицированные программно-аппаратные комплексы FortiGate, проведенного специалистами ЗАО «НИЦ» и Fortinet Inc, сделаны следующие выводы:
- FortiClient for Linux не является частью операционной системы FortiOS 5.4.1 и устанавливается на конечных устройствах (ПК, ноутбуках), функционирующих под управлением ОС Linux, эксплуатация уязвимости, при этом, на программно-аппаратных комплексах FortiGate не может быть осуществлена;
- FortiClient for Linux не является программным обеспечением, предназначенным для управления программно-аппаратными комплексами FortiGate (включая управление функциями безопасности межсетевого экрана и системы обнаружения вторжений), в связи с чем эксплуатация уязвимости для удаленного несанкционированного управления программно-аппаратными комплексами FortiGate невозможна;
- в сертифицированных программно-аппаратных комплексах FortiGate под управлением операционной системы FortiOS 5.4.1 реализован низкий уровень шифрования (LENC-версии), не позволяющий установить SSL VPN- соединения между конечными устройствами с установленным ПО FortiClient for Linux и сертифицированными программно-аппаратными комплексами FortiGate под управлением операционной системы FortiOS 5.4.1.