Palo Alto Networks 已修复 PAN-OS 中严重的 DoS 和任意代码执行漏洞
Palo Alto Networks解决了其PAN-OS防火墙软件中的关键和高度严重的拒绝服务(DoS)和任意代码执行漏洞。
Palo Alto Networks已发布安全更新,以修补其PAN-OS防火墙软件中的关键和高度严重的拒绝服务(DoS)和任意代码执行漏洞。
最严重的漏洞是缓冲区溢出问题,远程未经身份验证的攻击者可以利用该问题来破坏系统进程,并可能以root用户权限执行任意代码。
可以通过将特制请求发送到多因素身份验证(MFA)界面或Captive Portal来利用此漏洞(名为CVE-2020-2040)。
“ PAN-OS中的缓冲区溢出漏洞使未经身份验证的攻击者可以通过向Captive Portal或Multi-Factor Authentication接口发送恶意请求来破坏系统进程,并可能以root特权执行任意代码。” 读取供应商发布的建议。
该漏洞的CVSS评分为9.8,影响到所有版本的PAN-OS 8.0,早于PAN-OS 8.1.15的PAN-OS 8.1版本,早于PAN-OS 9.0.9的PAN-OS 9.0版本,PAN-OS PAN OS 9.1.3之前的9.1版本..
该公司解决的另一个严重漏洞是PAN-OS中的Reflected Cross-Site Scripting(XSS)问题,名为CVE-2020-2036,位于管理Web界面中。
“PAN-OS管理Web界面中存在一个反映的跨站点脚本(XSS)漏洞。” 阅读建议。“远程攻击者能够说服管理员在防火墙管理界面上进行有效的经过身份验证的会话,以单击指向该管理Web界面的特制链接,从而有可能在管理员的浏览器中执行任意JavaScript代码并执行管理操作。”
该漏洞的CVSS评分为8.8,影响到早于PAN-OS 8.1.16的PAN-OS 8.1版本和早于PAN-OS 9.0.9的PAN-OS 9.0版本。
Palo Alto Networks还解决了PAN-OS中的管理Web界面拒绝服务(DoS)问题,其跟踪记录为CVE-2020-2041。
“ Palo Alto Networks PAN-OS 8.1的appweb程序的不安全配置允许远程未经身份验证的用户向设备发送特制请求,从而导致appweb服务崩溃。” 阅读建议。“重复尝试发送此请求会导致设备重新启动并进入维护模式,从而导致对所有PAN OS服务的拒绝服务。”
