برطرف شدن ضعف امنیتی سامانه WAF در محصول Sophos XG Firewall
موضوع
برطرف شدن ضعف امنیتی سامانه WAF در محصول Sophos XG Firewall
شرح
هفته گذشته یک ضعف امنیتی که در برابر حملات نوع Cross Site Scripting – به اختصار XSS – آسیبپذیر بود در سامانه WAF محصول Sophos XG Firewall کشف و برطرف گردید.
این ضعف امنیتی امکان اجرای کد در سامانه WAF را بدون نیاز به احراز هویت، در اختیار نفوذگران قرار میداد.
تحقیقات شرکت Sophos نشان میدهند که خوشبختانه موردی از نفوذ و هک بر مبنای این ضعف امنیتی گزارش نشده است.
محصولات آسیبپذیر
این ضعف امنیتی صرفا در سامانه WAF محصول Sophos XG Firewall دیده شده و محصول Sophos SG UTM دارای این ضعف و آسیبپذیری نمیباشد.
اقدامات پیشنهادی برای رفع آسیبپذیری
برای مشتریانی که نسخه 16 یا بالاتر محصول Sophos XG Firewall را در اختیار دارند و امکان online update محصول فعال میباشد، اصلاحیه رفع این ضعف امنیتی بطور خودکار دانلود و نصب میگردد و نیازی به اقدام بیشتری توسط مشتری نیست.
مشتریانی که به هر دلیلی از Online Update استفاده نمیکنند، لازم است که اصلاحیه مربوطه را از بخش mysophos در سایت شرکت Sophos دانلود و نصب نمایند.
مشتریانی که هنوز نسخه 15 محصول XG Firewall را استفاده میکنند، ابتدا باید فایروال خود را به نسخه 16 یا 17 بهروزرسانی کنند؛ سپس اصلاحیه فوق بصورت خودکار دانلود و نصب خواهد شد.
مشتریانی که از امکان WAF در محصول فایروال خود استفاده نمیکنند، در برابر این ضعف امنیتی آسیبپذیر نیستند، اما اصلاحیه فوق در هر صورت روی فایروالشان نصب خواهد شد.
اصلاحیه فوق در تاریخ 29 دسامبر 2017 از طرف شرکت Sophos منتشر شده است.
برای کسب اطلاعات بیشتر در مورد این ضعف امنیتی میتوانید به این نشانی مراجعه کنید.