Patchday Fortinet: FortiSIEM speichert Log-in-Daten unverschlüsselt
Es gibt wichtige Updates für Sicherheitsprodukte von Fortinet. Darunter etwa FortiADC und FortiOS. Keine Lücke gilt als kritisch.
Netzwerk-Admins sollten ihre Fortinet-Software auf den aktuellen Stand bringen. Im November haben die Entwickler 16 Sicherheitslücken in verschiedenen Produkten geschlossen.
Aus einer Auflistung der Schwachstellen geht hervor [1], dass sechs Lücken mit dem Bedrohungsgrad "hoch" eingestuft sind. Angreifer könnten etwa an einer Schwachstelle (CVE-2022-26119) in FortiSIEM ansetzen und auf Zugangsdaten im Klartext zugreifen. Außerdem ist es vorstellbar, dass Angreifer im Kontext von FortiTester eigene Befehle ausführen (CVE-2022-33870).
Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft. Hier könnten Angreifer etwa aufgrund eines undokumentierten Shell-Kommandos eine Root Shell öffnen. Die gegen die geschilderten Attacken abgesicherten Versionen listet Fortinet in seinem Sicherheitsbereich [2] auf.
(des [3])
URL dieses Artikels:
https://www.heise.de/-7328476
Links in diesem Artikel:
[1] https://fortiguard.fortinet.com/psirt?date=11-2022
[2] https://fortiguard.fortinet.com/psirt?date=11-2022
[3] mailto:des@heise.de
Copyright © 2022 Heise Medien