Hoppa yfir valmynd

Veikleikar í búnaði frá Fortinet og Jenkins server

10. mar. 2023

Tilkynnt hefur verið um alvarlega veikleika í Fortinet FortiOS og FortiProxy [1] og 
í Jenkins Server [2][3].


FortiOS og FortiProxy [1]

Tilkynnt hefur verið um alvarlegan veikleika í Fortinet FortiOS og FortiProxy [1] sem 
gefur óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code).
Veikleikinn hefur fengið númerið CVE-2023-25610 og er með CVSS skorið 9.3. Ekki er 
vitað til þess að veikleikinn sé misnotaður sem stendur.

Veikleikinn er til staðar í útgáfum: 

  • FortiOS útgáfa 7.2.0 til og með 7.2.3
  • FortiOS útgáfa 7.0.0 til og með 7.0.9
  • FortiOS útgáfa 6.4.0 til og með 6.4.11
  • FortiOS útgáfa 6.2.0 til og með 6.2.12
  • FortiOS 6.0 allar útgáfur
  • FortiProxy útgáfa 7.2.0 til og með 7.2.2
  • FortiProxy útgáfa 7.0.0 til og með 7.0.8
  • FortiProxy útgáfa 2.0.0 til og með 2.0.11
  • FortiProxy 1.2 allar útgáfur
  • FortiProxy 1.1 allar útgáfur

Veikleikinn hefur verið lagfærður í útgáfum: 

  • FortiOS útgáfa 7.4.0 eða nýrri
  • FortiOS útgáfa 7.2.4 eða nýrri
  • FortiOS útgáfa 7.0.10 eða nýrri
  • FortiOS útgáfa 6.4.12 eða nýrri
  • FortiOS útgáfa 6.2.13 eða nýrri
  • FortiProxy útgáfa 7.2.3 eða nýrri
  • FortiProxy útgáfa 7.0.9 eða nýrri
  • FortiProxy útgáfa 2.0.12 eða nýrri
  • FortiOS-6K7K útgáfa 7.0.10 eða nýrri
  • FortiOS-6K7K útgáfa 6.4.12 eða nýrri
  • FortiOS-6K7K útgáfa 6.2.13 eða nýrri

Nánari upplýsingar er að finna í tilkynningu frá Fortinet [1], meðal annars um 
mögulegar aðferðir til að komast fram hjá veikleikanum án þess að uppfæra 
(e. workaround).


Jenkins Server [2][3]

Rannsakendur á vegum Aqua Nautilus hafa uppgötvað veikleika sem þeir hafa gefið nafnið 
CorePlague í hugbúnaðinum Jenkins Server og Jenkins Update Center [2]. Veikleikarnir 
gefa óauðkenndum aðila færi á að keyra kóða á búnaðinum (e. execute arbitrary code) sem 
getur mögulega leitt til þess að ógnaraðili nái fullri stjórn á búnaðinum (e. total 
compromise).

Samkvæmt tilkynningu frá Jenkins [3] þá er samtals um að ræða 7 veikleika og þeir 
alvarlegustu, sem ganga undir nafninu CorePlague, eru CVE-2023-27898 með CVSS skor 8.8 
og CVE-2023-27905 með CVSS skor 7.0. CVSS útreikningar eru fengnir frá Jenkins [3] en 
veikleikarnir hafa ekki verið birtir formlega.

Veikleikarnir eru til staðar í útgáfum: 

  • Jenkins útgáfa 2.393 og eldri (Jenkins weekly útgáfa)
  • Jenkins LTS útgáfa 2.375.3 og eldri
  • Jenkins update-center2 útgáfa 3.14 og eldri

Veikleikarnir hafa verið lagfærður í útgáfum: 

  • Jenkins útgáfa 2.394 (Jenkins weekly útgáfa)
  • Jenkins LTS útgáfa 2.375.4 eða 2.387.1
  • Jenkins update-center2 útgáfa 3.15

CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi 
framleiðanda.


Tilvísanir: 
[1] https://www.fortiguard.com/psirt/FG-IR-23-001
[2] https://blog.aquasec.com/jenkins-server-vulnerabilities 
[3] https://www.jenkins.io/security/advisory/2023-03-08/