Das CERT der Carnegie-Mellon-Universität berichtet, dass sich in der Software der FortiWAN Load-Balancer-Geräte von Fortinet fünf Sicherheitslücken befinden. Mit einem Update wurde eine der Lücken geschlossen, allerdings scheinen die übrigen nach wie vor offen zu sein.

Die Lücken können Angreifer ausnutzen, um auf den Geräten mit einem Konto ohne Adminrechte dennoch Admin-Funktionen auszuführen. Dadurch könnten die Angreifer dann die Geräte umkonfigurieren, den Traffic mitschneiden und Administratoren mittels Cross-Site-Scripting angreifen.

Die Lücke, mit der Angreifer Traffic mitschneiden können, ohne Admin-Rechte zu besitzen, wird vom Software-Update 4.2.5 für FortiWAN-Geräte geschlossen. Drei weitere Schwachstellen und die Lücke, mit der normale Nutzer Kommandos in das Betriebssystem einschleusen können, welche dann mit Adminrechten ausgeführt werden, scheinen aber wohl noch ungepatcht. Das vorliegende Update sollten Administratoren so schnell wie möglich installieren und auf etwaige Folge-Updates achten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE