Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-07165: Уязвимость SSL-VPN-портала операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость SSL-VPN-портала операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с доступом к неинициализированному указателю. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданного запроса HTTP GET

Вендор

Fortinet Inc.

Наименование ПО

FortiOS, FortiProxy

Версия ПО

от 6.2.0 до 6.2.10 включительно (FortiOS)
от 7.0.0 до 7.0.5 включительно (FortiOS)
от 6.4.0 до 6.4.9 включительно (FortiOS)
7.2.0 (FortiOS)
от 6.0 до 6.0.15 включительно (FortiOS)
от 7.0.0 до 7.0.4 включительно (FortiProxy)
от 1.2.6 до 1.2.13 включительно (FortiProxy)
от 2.0.0 до 2.0.9 включительно (FortiProxy)

Тип ПО

Операционная система, Средство защиты, Программное средство защиты

Операционные системы и аппаратные платформы

Fortinet Inc. FortiOS от 6.2.0 до 6.2.10 включительно
Fortinet Inc. FortiOS от 7.0.0 до 7.0.5 включительно
Fortinet Inc. FortiOS от 6.4.0 до 6.4.9 включительно
Fortinet Inc. FortiOS 7.2.0
Fortinet Inc. FortiOS от 6.0 до 6.0.15 включительно

Тип ошибки

Доступ неинициализированного указателя

Идентификатор типа ошибки

CWE-824

Класс уязвимости

Уязвимость кода

Дата выявления

10.10.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://fortiguard.com/psirt/FG-IR-22-086

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://fortiguard.com/psirt/FG-IR-22-086
https://nvd.nist.gov/vuln/detail/CVE-2022-29055

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-29055
FG-IR: FG-IR-22-086

Прочая информация

Данные уточняются

Последние изменения