EN

Tilkynna atvik

EN

Tilkynna atvik
  • Frettasafn
  • /
  • frett
  • /
  • Fréttir
  • Veikleikar í búnaði frá Fortinet og Jenkins server

Veikleikar í búnaði frá Fortinet og Jenkins server

Tilkynnt hefur verið um alvarlega veikleika í Fortinet FortiOS og FortiProxy [1] og
í Jenkins Server [2][3].
FortiOS og FortiProxy [1]

Tilkynnt hefur verið um alvarlegan veikleika í Fortinet FortiOS og FortiProxy [1] sem
gefur óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code).
Veikleikinn hefur fengið númerið CVE-2023-25610 og er með CVSS skorið 9.3. Ekki er
vitað til þess að veikleikinn sé misnotaður sem stendur.

Veikleikinn er til staðar í útgáfum:

  • FortiOS útgáfa 7.2.0 til og með 7.2.3
  • FortiOS útgáfa 7.0.0 til og með 7.0.9
  • FortiOS útgáfa 6.4.0 til og með 6.4.11
  • FortiOS útgáfa 6.2.0 til og með 6.2.12
  • FortiOS 6.0 allar útgáfur
  • FortiProxy útgáfa 7.2.0 til og með 7.2.2
  • FortiProxy útgáfa 7.0.0 til og með 7.0.8
  • FortiProxy útgáfa 2.0.0 til og með 2.0.11
  • FortiProxy 1.2 allar útgáfur
  • FortiProxy 1.1 allar útgáfur

Veikleikinn hefur verið lagfærður í útgáfum:

  • FortiOS útgáfa 7.4.0 eða nýrri
  • FortiOS útgáfa 7.2.4 eða nýrri
  • FortiOS útgáfa 7.0.10 eða nýrri
  • FortiOS útgáfa 6.4.12 eða nýrri
  • FortiOS útgáfa 6.2.13 eða nýrri
  • FortiProxy útgáfa 7.2.3 eða nýrri
  • FortiProxy útgáfa 7.0.9 eða nýrri
  • FortiProxy útgáfa 2.0.12 eða nýrri
  • FortiOS-6K7K útgáfa 7.0.10 eða nýrri
  • FortiOS-6K7K útgáfa 6.4.12 eða nýrri
  • FortiOS-6K7K útgáfa 6.2.13 eða nýrri

Nánari upplýsingar er að finna í tilkynningu frá Fortinet [1], meðal annars um
mögulegar aðferðir til að komast fram hjá veikleikanum án þess að uppfæra
(e. workaround).

Jenkins Server [2][3]

Rannsakendur á vegum Aqua Nautilus hafa uppgötvað veikleika sem þeir hafa gefið nafnið
CorePlague í hugbúnaðinum Jenkins Server og Jenkins Update Center [2]. Veikleikarnir
gefa óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code) sem
getur mögulega leitt til þess að ógnaraðili nái fullri stjórn á búnaðinum (e. total
compromise).

Samkvæmt tilkynningu frá Jenkins [3] þá er samtals um að ræða 7 veikleika og þeir
alvarlegustu, sem ganga undir nafninu CorePlague, eru CVE-2023-27898 með CVSS skor 8.8
og CVE-2023-27905 með CVSS skor 7.0. CVSS útreikningar eru fengnir frá Jenkins [3] en
veikleikarnir hafa ekki verið birtir formlega.

Veikleikarnir eru til staðar í útgáfum:

  • Jenkins útgáfa 2.393 og eldri (Jenkins weekly útgáfa)
  • Jenkins LTS útgáfa 2.375.3 og eldri
  • Jenkins update-center2 útgáfa 3.14 og eldri

Veikleikarnir hafa verið lagfærður í útgáfum:

  • Jenkins útgáfa 2.394 (Jenkins weekly útgáfa)
  • Jenkins LTS útgáfa 2.375.4 eða 2.387.1
  • Jenkins update-center2 útgáfa 3.15

CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi
framleiðanda.
Tilvísanir:
[1] https://www.fortiguard.com/psirt/FG-IR-23-001
[2] https://blog.aquasec.com/jenkins-server-vulnerabilities
[3] https://www.jenkins.io/security/advisory/2023-03-08/

Facebook Twitter Linkedin Google-plus-g Pinterest Envelope
  • Sími:
  • Netfang:
  • Heimilisfang:
  • PGP:
  • PGP fingrafar
  • BF14 84D3 1D39 9C9F 2C70 9054 3938 E161 13E9 308B
  • © Netöryggissveitin
  • Kt.: 570397-2499 (Fjarskiptastofa)

Persónuverndarstefna

Scroll to Top

Um okkur

Fréttir og útgefið efni

Leiðbeiningar í atvikum