Fortinet fixes vulnerabilities in firewall tools
تقول شركة Fortinet الأمنية إنها أصلحت سلسلة من نقاط الضعف في منتج جدار حماية تطبيق الويب الشهير FortiWeb.
قدمت الثغرات الأمنية الأربع التي تم تحديدها من قبل Andrey Medov الباحث الأمني في شركة Positive Technologies، العديد من التهديدات، بما في ذلك الثغرات الأمنية SQL Injection و Buffer Overflow.
يعتبر Medov هذين النوعين من "الأخطر most dangerous" على الإطلاق لأنهما سمحا للمهاجمين بتنفيذ استعلامات SQL التعسفية عن بعد واعتراض حسابات المسئول، مضيفًا أن "استغلالهما لا يتطلب إذنًا their exploitation does not require authorization".
التحديث للتخفيف Update to mitigate
مكّنت الثغرة الأمنية الخاصة بحقن SQL المهاجم من تنفيذ استعلامات SQL عشوائية عن بُعد عن طريق إرسال أمر SQL ضار مخفي داخل عنوان ترخيص صالح valid authorization header.
كان اثنان من التهديدات عبارة عن ثغرات أمنية تجاوز سعة المخزن المؤقت، ويمكن استغلال أحدهما لتنفيذ تعليمات برمجية عشوائية، بينما يمكن استخدام الآخر لهجوم رفض الخدمة (Denial of Service DoS) لتعطيل برنامج https الخفي على جدار الحماية.
والرابع هو ثغرة في سلسلة التنسيق سمحت للمهاجمين بقراءة محتويات الذاكرة على جدار الحماية للحصول على بيانات حساسة، وحتى تنفيذ تعليمات أو أوامر غير مصرح بها.
شاركت شركة Positive Technologies في إصلاح جميع نقاط الضعف الأربعة مع Fortinet وتنصح الشركة جميع مستخدميها بالترقية إلى أحدث إصدار للتخفيف من الثغرات الأمنية.
قدمت الثغرات الأمنية الأربع التي تم تحديدها من قبل Andrey Medov الباحث الأمني في شركة Positive Technologies، العديد من التهديدات، بما في ذلك الثغرات الأمنية SQL Injection و Buffer Overflow.
يعتبر Medov هذين النوعين من "الأخطر most dangerous" على الإطلاق لأنهما سمحا للمهاجمين بتنفيذ استعلامات SQL التعسفية عن بعد واعتراض حسابات المسئول، مضيفًا أن "استغلالهما لا يتطلب إذنًا their exploitation does not require authorization".
التحديث للتخفيف Update to mitigate
مكّنت الثغرة الأمنية الخاصة بحقن SQL المهاجم من تنفيذ استعلامات SQL عشوائية عن بُعد عن طريق إرسال أمر SQL ضار مخفي داخل عنوان ترخيص صالح valid authorization header.
كان اثنان من التهديدات عبارة عن ثغرات أمنية تجاوز سعة المخزن المؤقت، ويمكن استغلال أحدهما لتنفيذ تعليمات برمجية عشوائية، بينما يمكن استخدام الآخر لهجوم رفض الخدمة (Denial of Service DoS) لتعطيل برنامج https الخفي على جدار الحماية.
والرابع هو ثغرة في سلسلة التنسيق سمحت للمهاجمين بقراءة محتويات الذاكرة على جدار الحماية للحصول على بيانات حساسة، وحتى تنفيذ تعليمات أو أوامر غير مصرح بها.
شاركت شركة Positive Technologies في إصلاح جميع نقاط الضعف الأربعة مع Fortinet وتنصح الشركة جميع مستخدميها بالترقية إلى أحدث إصدار للتخفيف من الثغرات الأمنية.
