描述:
Sophos 发布了修复程式以应对 Sophos XG Firewall 韧体中 SQL 插入攻击的漏洞。远端攻击者可以通过互联网接达管理介面(HTTPS admin service)或用户入门网站插入恶意的SQL指令从而攻击这个漏洞。
有报告观察到远端攻击者在受影响的系统上执行恶意程式码以查阅防火墙驻留(firewall resident)的资料。用户应立即为受影响的系统安装修补程式,以免增加受到网络攻击的风险。
受影响的系统:
在实体及虚拟防火墙上所有版本的 Sophos XG Firewall 韧体
影响:
成功利用这个漏洞可以在受影响的系统上导致执行任意程式码及泄漏资讯。
建议:
Sophos 发布了所有支援 XG Firewall 或 Sophos Firewall Operating System (SFOS) 版本的修复程式以应对这个漏洞。受影响系统的系统管理员应遵从产品供应商的建议,立即采取行动以降低风险。
系统管理员亦应遵从遵从良好作业模式关闭防火墙管理介面和用户入门网站中不需要的互联网接达。
进一步信息:
- https://community.sophos.com/kb/en-us/135412