Entfernte, einfach authentisierte Angreifer können eine Schwachstelle von FortiOS, das Betriebssystem für FortiGate-Plattformen, für Scross-Site-Scripting-Angriffe missbrauchen. Auch das Umleiten auf spezifizierte URLs (Redirection-Angriffe) sollen möglich sein, wie der Herstellster Fortinet in einem Sicherheitshinweis erwähnt. Das davon ausgehende Risiko dieser Sicherheitslücke (CVE-2017-14186) wird vom BSI als "hoch" eingestuft.

Die FortiOS-Versionen FortiOS 5.0, alle Vorgänger-Versionen, 5.2.0 bis einschließlich 5.2.12, 5.4.0 bis einschließlich 5.4.6 und 5.6.0 bis einschließlich 5.6.2 sind betroffen. Für die 5.2er-Versionen gibt es die abgesicherte Version 5.2.12 Special Build und am 14. Dezember soll die neue Version 5.2.13 erscheinen. Für die 5.4er-Reihe steht der 5.4.6 Special Build bereit und am 07. Dezember soll die Version 5.4.7 veröffentlicht werden. Am 27. November soll in der 5.6er-Reihe die Schwachstelle mit Version 5.6.3 geschlossen werden.

Über das FortiCare-Support-Portal können Fortinet-Kunden die Special Builds beim zuständigen regionalen Technical Assistance Center (TAC) anfragen.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE