Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: Zranitelnosti Fortinet

20. 09. 2019

FortiOS reveals platform information without authentication

Označení:

CVE-2018-13367 (závažnost podle CVSS 5.3)

Popis:

Chyba zabezpečení vystavením informací ve FortiOS 6.2.0 a níže může umožnit neověřenému útočníkovi získat informace o platformě, jako je verze, modely, prostřednictvím analýzy souboru JavaScriptu a prostřednictvím administrátorského webUI.

Zranitelné produkty:

  • FortiOS 6.2.0

Řešení:

  • Upgrade na verzi FortiOS 6.2.1 nebo vyšší.

Reference:

FortiOS SSL Deep Inspection TLS Padding Oracle Vulnerabilities

Označení:

CVE-2019-5592 (závažnost podle CVSS 5.9)

Popis:

Více zranitelností v paddingu Oracle (Zombie POODLE, GOLDENDOODLE, OpenSSL 0-length) v CBC padding implementaci FortiOS, když je nakonfigurován pomocí SSL Deep Inspection policy a se zapnutým senzorem IPS, může útočníkovi umožnit dešifrovat připojení TLS procházející FortiGate monitorováním provozu v pozici Man-in-the-middle.

Zranitelné produkty:

  • IPS engine version 5.00000 to 5.00006,
  • IPS engine version 4.00000 to 4.00036 and 4.00200 to 4.00219
  • IPS engine version 3.00547 and below

Řešení:

  • Upgrade na IPS engine verze 3.00548 nebo 4.00037 nebo 5.00007 nebo vyšší.

Reference: