目前 Fortigate 最新版 FortiOS 韌體為 7.4,但是不少用戶為了穩定性而停留在 6.x 版,Fortinet 在 2023 年六月八日發布 FortiOS 6.4.13 build 2092,除了各項錯誤修復外,還有三項漏洞的修復,三項漏洞中有一個是"高度嚴重級"漏洞,建議用戶進行更新。
以下為 FortiOS 6.4.13 build 2092 所修復的三個漏洞的資訊:
[5.4-中度] 漏洞編號:843324,CVE-2022-42472
FortiOS 和 FortiProxy 中 HTTP 標頭中 CRLF 序列(“HTTP 響應拆分”)漏洞 [CWE-113] 的不當中和可能允許經過身份驗證的遠程攻擊者註入任意標頭。
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/CVE-2022-42472
Fortinet PSRIT 公告:https://www.fortiguard.com/psirt/FG-IR-22-362
[8.8-高度] 漏洞編號:858793,CVE-2022-43947
FortiOS 和 FortiProxy 管理界面中對過度身份驗證嘗試漏洞 [CWE-307] 的不當限制可能允許擁有有效用戶帳戶的攻擊者通過注入有效登錄會話對其他用戶帳戶執行暴力攻擊。
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/CVE-2022-43947
Fortinet PSRIT 公告:https://www.fortiguard.com/psirt/FG-IR-22-444
[5.4-中度] 漏洞編號:866013,CVE-2023-22641
FortiOS 和 FortiProxy sslvpnd 中的 URL 重定向到不受信任站點('Open Redirect')漏洞 [CWE-601] 可能允許經過身份驗證的攻擊者通過精心設計的 URL 將用戶重定向到任意網站。
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/CVE-2023-22641
Fortinet PSRIT 公告:https://www.fortiguard.com/psirt/FG-IR-22-479
FortiOS 6.4.13 build 2092 發布說明:
https://docs.fortinet.com/document/fortigate/6.4.13/fortios-release-notes
沒有留言:
張貼留言