FortiGate SSL VPN – 21點情報網

FortiGate SSL VPN漏洞(CVE-2021-26092)

blackjack — Sat, 05 Jun 2021 05:16:49 +0000

FortiGate SSL VPN漏洞(CVE-2021-26092)，原廠在2021年5月30日已釋出解決方案，有啟用SSL VPN的網友，可以參考一下相關風險的解決方案。

發布日期：2021年05月30日

IR號碼：FG-IR-20-199

影響：
在SSL VPN web portal的網頁上有Cross-site Scripting (XSS)的弱點，可能允許未經身份驗證的遠程攻擊者送帶有惡意GET參數進而達到跨站點腳本 (XSS) 攻擊。

受影響的產品：
FortiOS 5.6系列：FortiGate 5.6.13及以下版本。
FortiOS 6.0系列：FortiGate 6.0.12及以下版本。
FortiOS 6.2系列：FortiGate 6.2.7及以下版本。
FortiOS 6.4系列：FortiGate 6.4.5及以下版本。

解決方案：
請升級到 FortiGate 6.0.13 或更高版本。
請升級到 FortiGate 6.2.8 或更高版本。
請升級到 FortiGate 6.4.6 或更高版本。
請升級到 FortiGate 7.0.0 或更高版本。

臨時性方案：
關閉SSL-VPN web認證畫面。

原廠說明網址：
https://www.fortiguard.com/psirt/FG-IR-20-199

FortiGate SSL VPN漏洞(CVE-2018-13381)

blackjack — Mon, 16 Sep 2019 05:16:31 +0000

FortiGate SSL VPN漏洞(CVE-2018-13381)，原廠在2019年5月份已釋出解決方案，有啟用SSL VPN的網友，可以參考一下相關風險的解決方案。

發布日期：2019年5月17日
IR號碼：FG-IR-18-387

影響：
如果未能在FortiOS的SSL VPN認證頁面中正確解析消息有效負載，則可能允許未經過身份驗證的攻擊者通過利用緩衝區溢出來執行拒絕服務攻擊(DoS)。

受影響的產品：
FortiOS 6.0系列：6.0.0至6.0.4。
FortiOS 5.6系列：5.6.0至5.6.7。
FortiOS 5.4系列：5.4及以下版本。

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.8或更高版本。

臨時性方案：
關閉SSL-VPN web認證畫面

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-387

FortiGate SSL VPN漏洞(CVE-2018-13382)

blackjack — Mon, 16 Sep 2019 04:32:42 +0000

FortiGate SSL VPN漏洞(CVE-2018-13382)，原廠在2019年5月份已釋出解決方案，有啟用SSL VPN的網友，可以參考一下相關風險的解決方案。

發布日期：2019年5月24日
IR號碼：FG-IR-18-389

影響：
當啟用SSL VPN功能(Web模式或隧道模式)且使用本地端身份驗證時才受影響，SSL VPN Web驗證畫面中的不正當授權漏洞可能允許未經身份驗證的攻擊者通過特製的HTTP請求更改SSL VPN Web驗證畫面用戶的密碼。

受影響的產品：
FortiOS 6.0系列：6.0.0至6.0.4。
FortiOS 5.6系列：5.6.0至5.6.8。
FortiOS 5.4系列：5.4.1至5.4.10。
備註：5.4.0及以下版本(包括分支5.2)不受影響。

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.9或更高版本。
FortiOS 5.4系列：升級到5.4.11或更高版本。

臨時性方案：
(1)、關閉SSL VPN功能。
(2)、SSL VPN使用者身份驗證從本地移轉到到LDAP(Windows AD)或RADIUS遠端認證主機。

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-389

FortiGate SSL VPN漏洞(CVE-2018-13383)

blackjack — Mon, 16 Sep 2019 04:22:22 +0000

FortiGate SSL VPN漏洞(CVE-2018-13379)，原廠在2019年4月份已釋出解決方案，有啟用SSL VPN的網友，可以參考一下相關風險的解決方案。

發布日期：2019年4月2日
IR號碼：FG-IR-18-388

影響：
只影響SSL VPN Web模式(SSL VPN隧道模式不受影響)，FortiOS SSL VPN Web中的堆緩衝區溢出漏洞，可能導致登錄用戶終止SSL VPN Web服務或FortiOS上潛在的遠程程式碼執行；當經過身份驗證的使用者訪問專門設計的代理網頁時會發生這種情況，這是因為無法正確處理javascript href內容。

受影響的產品：
FortiOS 6.0系列：6.0.0到6.0.4
FortiOS 5.6.10及以下版本

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.11或更高版本。

臨時性方案：
(1)、只使用SSL VPN隧道模式。
(2)、在SSL VPN Web模式下只連線受信任的HTTP Web Server。

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-388

FortiGate SSL VPN漏洞(CVE-2018-13379)

blackjack — Mon, 16 Sep 2019 03:44:32 +0000

FortiGate SSL VPN漏洞(CVE-2018-13379)，原廠在2019年5月份已釋出解決方案，有啟用SSL VPN的網友，可以參考一下相關風險的解決方案。

發布日期：2019年5月24日

IR號碼：FG-IR-18-384

影響：
僅在啟用SSL VPN服務(Web模式或隧道模式)時，FortiOS SSL VPN Web門戶中的路徑遍歷漏洞可能允許未經身份驗證的攻擊者通過特製的HTTP資源請求下載FortiOS系統文件。

受影響的產品：
FortiOS 6.0版本：6.0.0至6.0.4。
FortiOS 5.6版本：5.6.3至5.6.7。
FortiOS 5.4版本：5.4.6至5.4.12。
備註：除上述以外的其他分支和版本不受影響。

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.8或更高版本。
FortiOS 5.4系列：升級到5.4.13或更高版本。

臨時性方案：
關閉SSL VPN功能。

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-384