Hoppa yfir valmynd

Veikleikar í búnaði frá Fortinet og Jenkins server

10. mar. 2023

Tilkynnt hefur verið um alvarlega veikleika í Fortinet FortiOS og FortiProxy [1] og 
í Jenkins Server [2][3].


FortiOS og FortiProxy [1]

Tilkynnt hefur verið um alvarlegan veikleika í Fortinet FortiOS og FortiProxy [1] sem 
gefur óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code).
Veikleikinn hefur fengið númerið CVE-2023-25610 og er með CVSS skorið 9.3. Ekki er 
vitað til þess að veikleikinn sé misnotaður sem stendur.

Veikleikinn er til staðar í útgáfum: 

 • FortiOS útgáfa 7.2.0 til og með 7.2.3
 • FortiOS útgáfa 7.0.0 til og með 7.0.9
 • FortiOS útgáfa 6.4.0 til og með 6.4.11
 • FortiOS útgáfa 6.2.0 til og með 6.2.12
 • FortiOS 6.0 allar útgáfur
 • FortiProxy útgáfa 7.2.0 til og með 7.2.2
 • FortiProxy útgáfa 7.0.0 til og með 7.0.8
 • FortiProxy útgáfa 2.0.0 til og með 2.0.11
 • FortiProxy 1.2 allar útgáfur
 • FortiProxy 1.1 allar útgáfur

Veikleikinn hefur verið lagfærður í útgáfum: 

 • FortiOS útgáfa 7.4.0 eða nýrri
 • FortiOS útgáfa 7.2.4 eða nýrri
 • FortiOS útgáfa 7.0.10 eða nýrri
 • FortiOS útgáfa 6.4.12 eða nýrri
 • FortiOS útgáfa 6.2.13 eða nýrri
 • FortiProxy útgáfa 7.2.3 eða nýrri
 • FortiProxy útgáfa 7.0.9 eða nýrri
 • FortiProxy útgáfa 2.0.12 eða nýrri
 • FortiOS-6K7K útgáfa 7.0.10 eða nýrri
 • FortiOS-6K7K útgáfa 6.4.12 eða nýrri
 • FortiOS-6K7K útgáfa 6.2.13 eða nýrri

Nánari upplýsingar er að finna í tilkynningu frá Fortinet [1], meðal annars um 
mögulegar aðferðir til að komast fram hjá veikleikanum án þess að uppfæra 
(e. workaround).


Jenkins Server [2][3]

Rannsakendur á vegum Aqua Nautilus hafa uppgötvað veikleika sem þeir hafa gefið nafnið 
CorePlague í hugbúnaðinum Jenkins Server og Jenkins Update Center [2]. Veikleikarnir 
gefa óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code) sem 
getur mögulega leitt til þess að ógnaraðili nái fullri stjórn á búnaðinum (e. total 
compromise).

Samkvæmt tilkynningu frá Jenkins [3] þá er samtals um að ræða 7 veikleika og þeir 
alvarlegustu, sem ganga undir nafninu CorePlague, eru CVE-2023-27898 með CVSS skor 8.8 
og CVE-2023-27905 með CVSS skor 7.0. CVSS útreikningar eru fengnir frá Jenkins [3] en 
veikleikarnir hafa ekki verið birtir formlega.

Veikleikarnir eru til staðar í útgáfum: 

 • Jenkins útgáfa 2.393 og eldri (Jenkins weekly útgáfa)
 • Jenkins LTS útgáfa 2.375.3 og eldri
 • Jenkins update-center2 útgáfa 3.14 og eldri

Veikleikarnir hafa verið lagfærður í útgáfum: 

 • Jenkins útgáfa 2.394 (Jenkins weekly útgáfa)
 • Jenkins LTS útgáfa 2.375.4 eða 2.387.1
 • Jenkins update-center2 útgáfa 3.15

CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi 
framleiðanda.


Tilvísanir: 
[1] https://www.fortiguard.com/psirt/FG-IR-23-001
[2] https://blog.aquasec.com/jenkins-server-vulnerabilities 
[3] https://www.jenkins.io/security/advisory/2023-03-08/