برطرف شدن ضعف امنیتی سامانه WAF در محصول Sophos XG Firewall

موضوع

برطرف شدن ضعف امنیتی سامانه WAF در محصول Sophos XG Firewall

شرح

هفته گذشته یک ضعف امنیتی که در برابر حملات نوع Cross Site Scripting – به اختصار XSS – آسیب‌پذیر بود در سامانه WAF محصول Sophos XG Firewall کشف و برطرف گردید.
این ضعف امنیتی امکان اجرای کد در سامانه WAF را بدون نیاز به احراز هویت، در اختیار نفوذگران قرار می‌داد.

تحقیقات شرکت Sophos نشان می‌دهند که خوشبختانه موردی از نفوذ و هک بر مبنای این ضعف امنیتی گزارش نشده است.

محصولات آسیب‌پذیر

این ضعف امنیتی صرفا در سامانه WAF محصول Sophos XG Firewall دیده شده و محصول Sophos SG UTM دارای این ضعف و آسیب‌پذیری نمی‌باشد.

اقدامات پیشنهادی برای رفع آسیب‌پذیری

برای مشتریانی که نسخه 16 یا بالاتر محصول Sophos XG Firewall را در اختیار دارند و امکان online update محصول فعال می‌باشد، اصلاحیه رفع این ضعف امنیتی بطور خودکار دانلود و نصب می‌گردد و نیازی به اقدام بیشتری توسط مشتری نیست.
مشتریانی که به هر دلیلی از Online Update استفاده نمی‌کنند، لازم است که اصلاحیه مربوطه را از بخش mysophos در سایت شرکت Sophos دانلود و نصب نمایند.
مشتریانی که هنوز نسخه 15 محصول XG Firewall را استفاده می‌کنند، ابتدا باید فایروال خود را به نسخه 16 یا 17 به‌روزرسانی کنند؛ سپس اصلاحیه فوق بصورت خودکار دانلود و نصب خواهد شد.

مشتریانی که از امکان WAF در محصول فایروال خود استفاده نمی‌کنند، در برابر این ضعف امنیتی آسیب‌پذیر نیستند، اما اصلاحیه فوق در هر صورت روی فایروالشان نصب خواهد شد.
اصلاحیه فوق در تاریخ 29 دسامبر 2017 از طرف شرکت Sophos منتشر شده است.

برای کسب اطلاعات بیشتر در مورد این ضعف امنیتی می‌توانید به این نشانی مراجعه کنید.