Open Source im professionellen Einsatz

DFN-CERT-2017-0891 FortiOS: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Netzwerk]

19.05.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FortiOS < 5.2.11
FortiOS < 5.4.0


Betroffene Plattformen:

FortiOS



Eine Schwachstelle in FortiOS ermöglicht einem angemeldeten Administrator
mit Schreibrechten die Durchführung eines Cross-Site-Scripting
(XSS)-Angriffs.

Die FortiOS Versionen 5.2.11 und 5.4.0 stehen als Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung. Der FortiOS Versionszweig 4.3 ist
von der Schwachstelle nicht betroffen.


Patch:

FortiGuard PSIRT Advisory FG-IR-17-057

<https://fortiguard.com/psirt/FG-IR-17-057>


CVE-2017-3128: Schwachstelle in FortiOS ermöglicht
Cross-Site-Scripting-Angriff

In FortiOS 5.2.0 bis 5.2.10 sowie im FortiOS Versionszweig 5.0 existiert
eine Cross-Site-Scripting (XSS)-Schwachstelle aufgrund eines unzureichend
bereinigten Parameters in der verborgenen Kommandozeilen (CLI)-Konfiguration
mit der Bezeichnung 'global-label'.



Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0891/>

FortiGuard PSIRT Advisory FG-IR-17-057:
<https://fortiguard.com/psirt/FG-IR-17-057>

Schwachstelle CVE-2017-3128 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3128>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.