Corpus Solutions Security Advisory: Zranitelnosti Fortinet
20. 09. 2019
FortiOS reveals platform information without authentication
Označení:
CVE-2018-13367 (závažnost podle CVSS 5.3)
Popis:
Chyba zabezpečení vystavením informací ve FortiOS 6.2.0 a níže může umožnit neověřenému útočníkovi získat informace o platformě, jako je verze, modely, prostřednictvím analýzy souboru JavaScriptu a prostřednictvím administrátorského webUI.
Zranitelné produkty:
- FortiOS 6.2.0
Řešení:
- Upgrade na verzi FortiOS 6.2.1 nebo vyšší.
Reference:
FortiOS SSL Deep Inspection TLS Padding Oracle Vulnerabilities
Označení:
CVE-2019-5592 (závažnost podle CVSS 5.9)
Popis:
Více zranitelností v paddingu Oracle (Zombie POODLE, GOLDENDOODLE, OpenSSL 0-length) v CBC padding implementaci FortiOS, když je nakonfigurován pomocí SSL Deep Inspection policy a se zapnutým senzorem IPS, může útočníkovi umožnit dešifrovat připojení TLS procházející FortiGate monitorováním provozu v pozici Man-in-the-middle.
Zranitelné produkty:
- IPS engine version 5.00000 to 5.00006,
- IPS engine version 4.00000 to 4.00036 and 4.00200 to 4.00219
- IPS engine version 3.00547 and below
Řešení:
- Upgrade na IPS engine verze 3.00548 nebo 4.00037 nebo 5.00007 nebo vyšší.
Reference:
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál 