Разъяснение относительно уязвимости программного обеспечения FortiClient for Linux (Fortinet Inc.)

Компания «Национальный Инновационный Центр», являясь партнером Fortinet Inc., представляет разъяснения об уязвимости SSL VPN программного обеспечения  FortiClient for Linux (разработчик — Fortinet Inc.).

Сведения об уязвимости:

Описание уязвимости

 

Уязвимость SSL VPN программного обеспечения FortiClient for Linux связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить произвести замену subproc файла другим (в том числе исполняемым) файлом и осуществить его запуск от имени учетной записи с root-привилегией

 

Наименование ПО

 

FortiClient for Linux

 

Версия ПО

 

Cовместимая с FortiOS до 5.4.3 включительно

 

Тип ПО

 

Программное обеспечение для защиты конечных устройств (Windows, Linux, Mac, IOS и Android)

 

Операционные системы и аппаратные платформы

 

Операционная система Linux, платформа X86

 

Тип ошибки

 

Разрешения, привилегии и контроль доступа

 

Идентификатор типа ошибки

 

CWE-264

 

Класс уязвимости

 

Уязвимость кода

 

Дата выявления

 

27.05.2017

 

Базовый вектор уязвимости

 

AV:N/AC:L/Au:N/C:C/I:C/A:C

 

Уровень опасности уязвимости

 

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

 

Статус уязвимости

 

Подтверждена производителем

 

Информация об устранении

 

Уязвимость устранена

 

Возможные меры по устранению уязвимости

 

Использование рекомендаций: https://fortiguard.com/psirt/FG-IR-16-041

 

Ссылки на источники

 

https://fortiguard.com/psirt/FG-IR-16-041

http://bdu.fstec.ru/vul/2017-01423

http://www.securityfocus.com/bid/97478

 

Идентификаторы других систем описаний уязвимостей

 

CVE: CVE-2016-8497

BID: BID ID:97478

 

 

Компания «Национальный Инновационный Центр» уведомляет пользователей сертифицированных  программно-аппаратных комплексов FortiGate под управлением операционной системы FortiOS 5.4.1, что уязвимость не является критичной в отношении сертифицированных программно-аппаратных комплексов FortiGate.

В результате  анализа возможного влияния уязвимости на сертифицированные программно-аппаратные комплексы FortiGate, проведенного специалистами ЗАО «НИЦ» и Fortinet Inc, сделаны следующие выводы:

  • FortiClient for Linux не является частью операционной системы FortiOS 5.4.1 и устанавливается на конечных устройствах (ПК, ноутбуках), функционирующих под управлением ОС Linux, эксплуатация уязвимости, при этом, на программно-аппаратных комплексах FortiGate не может быть осуществлена;
  • FortiClient for Linux не является программным обеспечением, предназначенным для управления программно-аппаратными комплексами FortiGate (включая управление функциями безопасности межсетевого экрана и системы обнаружения вторжений), в связи с чем эксплуатация уязвимости для удаленного несанкционированного управления программно-аппаратными комплексами FortiGate невозможна;
  • в сертифицированных  программно-аппаратных комплексах  FortiGate под управлением операционной системы FortiOS 5.4.1 реализован низкий уровень шифрования (LENC-версии), не позволяющий установить SSL VPN- соединения между конечными устройствами с установленным ПО FortiClient for Linux и сертифицированными  программно-аппаратными комплексами  FortiGate под управлением операционной системы FortiOS 5.4.1.