PT-2020-6794 · Fortinet · Fortiproxy+1
Publicado
2020-10-01
·
Atualizado
2021-04-19
·
CVE-2019-17656
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 6.0.10 e anteriores do FortiOS
Versões 6.2.2 e anteriores do FortiOS
Versões 1.0.x do FortiProxy
Versões 1.1.x do FortiProxy
Versões 1.2.9 e anteriores do FortiProxy
Versões 2.0.0 e anteriores do FortiProxy
Descrição
Uma vulnerabilidade de estouro de buffer baseada em pilha no daemon HTTPD pode permitir que um invasor remoto autenticado cause a falha do serviço enviando uma solicitação PUT malformada ao servidor. A vulnerabilidade está relacionada à gravação de dados além do buffer na memória. A Fortinet não tem conhecimento de nenhuma exploração bem-sucedida dessa vulnerabilidade que levasse à execução de código.
Recomendações
Para as versões 6.0.10 e anteriores do FortiOS, atualize para uma versão superior à 6.0.10 para resolver o problema.
Para as versões 6.2.2 e anteriores do FortiOS, atualize para uma versão superior à 6.2.2 para resolver o problema.
Para as versões 1.0.x, 1.1.x, 1.2.9 e anteriores do FortiProxy, e 2.0.0 e anteriores, considere desativar o daemon HTTPD ou restringir o acesso a ele até que um patch esteja disponível.
Como solução alternativa temporária, considere restringir o uso da solicitação
PUT no endpoint da API afetado até que o problema seja resolvido.Correção
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortios
Fortiproxy