Ungepatchte Sicherheitslücken im Fortiweb
Rapid7, ein Security-Research-Unternehmen, lüftet eine Sicherheitslücke im Management-Interface des Fortiweb. Die Sicherheitslücke macht es möglich, dass ein Angreifer mittels Command-Injection beliebige Befehle erteilen kann.
Fortinet nicht glücklich über die Veröffentlichung
Fortinet wurde bei der Veröffentlichung dieser Sicherheitslücke überrascht und war damit nicht zufrieden. „Wir erwarten, dass Rapid7 eine Veröffentlichung vor Ablauf unserer 90-tägigen Frist für die verantwortliche Offenlegung vermeidet.“ Die 90-Tage-Frist ist in der unternehmenseigenen Sicherheitsschwachstellenrichtlinie klar festgelegt.
Die Meinungsverschiedenheiten zwischen den beiden Unternehmen könnten darauf zurückzuführen sein, dass keiner von ihnen ihre jeweiligen Veröffentlichungsrichtlinien richtig einschätzte, teilte Rapid7 mit. Fortinet soll darüber bereits am 10. Juni informiert worden sein.
Die eigene Offenlegungsrichtlinie von Rapid7 sieht vor, dass Schwachstellen bereits 60 Tage nach Kontaktaufnahme mit dem Hersteller veröffentlicht werden können. Im Fall von Fortinet taten sie dies, nachdem sie 66 Tage lang nichts gehört hatten.
Patch soll Ende August kommen
Fortinet kündigt nun an, Ende August einen Patch zu veröffentlichen. Fortinet empfiehlt Benutzern, den Zugriff auf die Fortiweb-Oberfläche aus dem Internet zu sperren, solange dies nicht verfügbar ist.
Kunden der AdVision-Group, wurden zu dieser Sicherheitslücke bereits informiert und die nötigen Massnahmen wurden gemäss Fortinet-Empfehlung vorgenommen.
Weitere Informationen zur Sicherheitslücke finden Sie hier.
(Quelle: helpnetsecurity.com)
