FortiGate SSL VPN漏洞(CVE-2018-13379)

FortiGate SSL VPN漏洞(CVE-2018-13379),原廠在2019年5月份已釋出解決方案,有啟用SSL VPN的網友,可以參考一下相關風險的解決方案。

發布日期:2019年5月24日

IR號碼:FG-IR-18-384

影響:
僅在啟用SSL VPN服務(Web模式或隧道模式)時,FortiOS SSL VPN Web門戶中的路徑遍歷漏洞可能允許未經身份驗證的攻擊者通過特製的HTTP資源請求下載FortiOS系統文件。

受影響的產品:
FortiOS 6.0版本:6.0.0至6.0.4。
FortiOS 5.6版本:5.6.3至5.6.7。
FortiOS 5.4版本:5.4.6至5.4.12。
備註:除上述以外的其他分支和版本不受影響。

解決方案:
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列:升級到6.0.5或更高版本。
FortiOS 5.6系列:升級到5.6.8或更高版本。
FortiOS 5.4系列:升級到5.4.13或更高版本。

臨時性方案:
關閉SSL VPN功能。

原廠說明網址:
https://fortiguard.com/psirt/FG-IR-18-384