انتشار SG UTM Firmware Up2Date 9.708
شرکت سوفوس (.Sophos, Ltd)، به تازگی نسخه 9.708 SG UTM را منتشر کرده است. طبق معمول، نسخه مذکور در مراحل زیر عرضه خواهد شد:
- در فاز 1، محصول بهروزرسانی شده از سرور به نشانی زیر قابل دانلود است.
- Up2date package – 9.707 to 9.708: https://download.astaro.com/UTM/v9/up2date/u2d-sys-9.707005-708006.tgz.gpg
- md5sum is df8266489b66c653ca83d6a148904c0e (https://download.astaro.com/UTM/v9/up2date/u2d-sys-9.707005-708006.tgz.gpg.md5)
- در فاز 2، شرکت سوفوس آن را از طریق سرورهای Up2Date برای مدلهای محدودی از فایروال در دسترس قرار خواهد داد.
- در فاز 3، بروزرسانی مذکور از طریق سرورهای Up2Date سوفوس برای تمام مدلهای فایروالها در دسترس قرار خواهد گرفت.
در این نسخه، آسیبپذیری از نوع “تزریق کد SQL”و(SQL Injection) که اخیراً توسط محققان سوفوس کشف شده، ترمیم شده است. در ضعف امنیتی مذکور که دارای شناسه CVE-2021-36807 میباشد، تزریق کد SQL، پس از احراز هویت در پورتال کاربر صورت میگیرد.
جزییات بیشتر در خصوص آسیبپذیری مذکور در نشانی زیر قابل مطالعه است.
https://newsroom.shabakeh.net/22869/sg-utm-user-portal-vulnerability.html
سوفوس توصیه میکند که مشتریان در اولین فرصت، SG UTM را به آخرین نسخه موجود (9.708) ارتقاء دهند.
همچنین در این نسخه، OpenSSL نیز بهروزرسانی شده است که دیگر مجموعههای رمزنگاری (cipher suites) را که شامل پروتکل تبادل کلید Non-EC Diffie-Hellman – به اختصار DH – میباشند، پشتیبانی نمیکند. این مجموعههای رمزنگاری مدتی است که ضعیف تلقی میشوند.
