FortiGate SSL VPN漏洞(CVE-2018-13379),原廠在2019年4月份已釋出解決方案,有啟用SSL VPN的網友,可以參考一下相關風險的解決方案。
發布日期:2019年4月2日
IR號碼:FG-IR-18-388
影響:
只影響SSL VPN Web模式(SSL VPN隧道模式不受影響),FortiOS SSL VPN Web中的堆緩衝區溢出漏洞,可能導致登錄用戶終止SSL VPN Web服務或FortiOS上潛在的遠程程式碼執行;當經過身份驗證的使用者訪問專門設計的代理網頁時會發生這種情況,這是因為無法正確處理javascript href內容。
受影響的產品:
FortiOS 6.0系列:6.0.0到6.0.4
FortiOS 5.6.10及以下版本
解決方案:
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列:升級到6.0.5或更高版本。
FortiOS 5.6系列:升級到5.6.11或更高版本。
臨時性方案:
(1)、只使用SSL VPN隧道模式。
(2)、在SSL VPN Web模式下只連線受信任的HTTP Web Server。
原廠說明網址:
https://fortiguard.com/psirt/FG-IR-18-388