BDU:2019-04699

Опубликовано: 26 июл. 2019

Источник: fstec

CVSS3: 3.1

CVSS2: 1.8

EPSS Средний

Описание

Уязвимость операционной системы FortiOS связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выдавая себя за LDAP-сервер

Вендор

Fortinet Inc.

Наименование ПО

FortiOS

Версия ПО

до 6.2.0 включительно (FortiOS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Fortinet Inc. FortiOS до 6.2.0 включительно

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,8)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

1. Для пользователей, использующих версии с 6.0.3 по 6.2.0, включение параметра CLI, который проверяет подлинность сервера LDAP. Этот параметр можно включить только в том случае, если установлены параметры secure и ca-cert сервера LDAP.

2. Для пользователей, использующих версии с 6.0.2 и ниже, отключение аутентификации LDAP.

Использование рекомендаций производителя:

https://fortiguard.com/psirt/FG-IR-19-037

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%

0.56819

Средний

3.1 Low

CVSS3

1.8 Low

CVSS2

Связанные уязвимости

CVE-2019-5591

CVSS3: 6.5

nvd

больше 5 лет назад

A Default Configuration vulnerability in FortiOS may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the LDAP server.

GHSA-p9g8-h33v-mg42