Kurzmeldung: Fortinet veröffentlicht Updates für zahlreiche Produkte

FortiNAC
- FortiNAC Version 8.3.7
- FortiNAC Version 8.5.0 bis 8.5.2
- FortiNAC Version 8.5.4
- FortiNAC Version 8.6.0
- FortiNAC Version 8.6.2 bis 8.6.5
- FortiNAC Version 8.7.0 bis 8.7.6
- FortiNAC Version 8.8.0 bis 8.8.11
- FortiNAC Version 9.1.0 bis 9.1.5
- FortiNAC Version 9.2.0 bis 9.2.3
FortiADC
Mehrere unsachgemäße Neutralisierung von speziellen Elementen, die in einem SQL-Befehl (‚SQL Injection‘) verwendet werden, Schwachstellen [CWE-89] in der FortiADC-Verwaltungsschnittstelle können es einem authentifizierten Angreifer ermöglichen, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen.
Davon betroffen sind folgende Versionen:
- FortiADC Version 7.0.0 bis 7.0.1
- FortiADC Version 6.2.0 bis 6.2.2
- FortiADC Version 6.1.0 bis 6.1.6
- FortiADC Version 6.0.0 bis 6.0.4
- FortiADC Version 5.4.0 bis 5.4.5
- FortiADC Version 5.3.0 bis 5.3.7
- FortiADC Version 5.2.0 bis 5.2.8
- FortiADC Version 5.1.0 bis 5.1.7
- FortiADC Version 5.0.0 bis 5.0.4
Fortinet rät, FortiNADC auf Version 6.2.3 oder höher bzw. 7.0.2 oder höher zu updaten.
FortiManager & FortiAnalyzer
Eine unsachgemäße Neutralisierung spezieller Elemente, die in einem OS-Befehl verwendet werden (‚OS Command Injection‘) Schwachstelle [CWE-78] in FortiAnalyzer & FortiManager kann es einem authentifizierten Angreifer ermöglichen, beliebigen Shell-Code als ‚root‘-Benutzer über ‚Systemdiagnose‘-CLI-Befehle auszuführen.
Außerdem kann eine Privilege-Chaining-Schwachstelle [CWE-268] in FortiManager und FortiAnalyzer einem lokalen und authentifizierten Angreifer mit einer eingeschränkten Shell ermöglichen, seine Privilegien aufgrund falscher Berechtigungen einiger Ordner und ausführbarer Dateien auf dem System zu root zu eskalieren.
Betroffen sind folgende Versionen:
FortiManager:
- FortiManager Version 7.0.0 bis 7.0.3
- FortiManager Version 6.4.0 bis 6.4.7
- FortiManager Version 6.2.0 bis 6.2.9
- FortiManager Version 6.0.0 bis 6.0.11
FortiAnalyzer:
- FortiAnalyzer Version 7.0.0 bis 7.0.3
- FortiAnalyzer Version 6.4.0 bis 6.4.7
- FortiAnalyzer Version 6.2.0 bis 6.2.9
- FortiAnalyzer Version 6.0.0 bis 6.0.11
Fortinet rät FortiManager und FortiAnalyzer auf Version 6.4.8 oder höher bzw. 7.0.4 oder höher bzw. 7.2.0 oder höher upzudaten.
FortiDeceptor
Mehrere Verwundbarkeiten in relativen Pfaden [CWE-23] in der FortiDeceptor-Verwaltungsschnittstelle könnten es einem entfernten und authentifizierten Angreifer erlauben, beliebige Dateien aus dem zugrundeliegenden Dateisystem über speziell gestaltete Web-Anfragen abzurufen und zu löschen.
Betroffene Versionen:
- FortiDeceptor Version 1.0.0 bis 1.0.1
- FortiDeceptor Version 1.1.0
- FortiDeceptor Version 2.0.0
- FortiDeceptor Version 2.1.0
- FortiDeceptor Version 3.0.0 bis 3.0.2
- FortiDeceptor Version 3.1.0 bis 3.1.1
- FortiDeceptor Version 3.2.0 bis 3.2.2
- FortiDeceptor Version 3.3.0 bis 3.3.2
- FortiDeceptor Version 4.0.0 bis 4.0.1
Fortinet rät zum Update auf Version 3.3.3 oder höher, 4.0.2 oder höher bzw. 4.1.0 oder höher.
FortiClient (Windows)
Eine relative Pfadüberquerungsschwachstelle [CWE-23] in FortiClient für Windows kann es einem lokalen, nicht privilegierten Angreifer ermöglichen, seine Privilegien über die benannte Pipe, die für den FortiESNAC-Dienst verantwortlich ist, auf SYSTEM zu erweitern.
Betroffene Versionen:
- FortiClientWindows Version 7.0.0 bis 7.0.2
- FortiClientWindows Version 6.4.0 bis 6.4.6
- FortiClientWindows Version 6.2.0 bis 6.2.9
Version 6.4.7 oder höher bzw. 7.0.3 oder höher sind die Versionen, auf die aktualisiert werden sollte.
FortiEDR
Eine unsachgemäße Neutralisierung von Eingaben während der Webseitengenerierung [CWE-79] in FortiEDR Central Manager kann es einem entfernten, authentifizierten Angreifer ermöglichen, einen reflektierten Cross-Site-Scripting-Angriff (XSS) durchzuführen, indem er über verschiedene Endpunkte eine bösartige Nutzlast in die Verwaltungskonsole injiziert.
Betroffene Versionen:
- FortiEDR Central Manager Version 4.0.0
- FortiEDR Central Manager Version 5.0.0 bis 5.0.3 Patch 6
- FortiEDR Central Manager Version 5.1.0
Fortinet rät zum Update auf Version 5.0.3 Patch 7 oder höher bzw. Version 5.2.0 oder höher.
FortiOS & FortiProxy
Eine stapelbasierte Pufferüberlaufschwachstelle [CWE-121] im Befehlszeileninterpreter von FortiOS und FortiProxy kann es einem authentifizierten Angreifer ermöglichen, über speziell gestaltete Befehlszeilenargumente nicht autorisierten Code oder Befehle auszuführen.
Betroffen sind folgende Produkte:
- FortiProxy Version 1.0.0 bis 1.0.7
- FortiProxy Version 1.1.0 bis 1.1.6
- FortiProxy Version 1.2.0 bis 1.2.13
- FortiProxy Version 2.0.0 bis 2.0.7
- FortiOS Version 6.0.0 bis 6.0.14
- FortiOS Version 6.2.0 bis 6.2.10
- FortiOS Version 6.4.0 bis 6.4.8
- FortiOS Version 7.0.0 bis 7.0.2
Aktualisieren Sie auf FortiOS Version 7.0.4 oder höher, 6.4.9 oder höher bzw. 6.2.11 oder höher. Aktualisieren Sie auf FortiProxy Version 2.0.8 oder höher.
FortiOS / FortiProxy / FortiAnalyzer / FortiManager
Eine Pufferkopie ohne Überprüfung der Größe der Eingabe (‚Classic Buffer Overflow‘) Schwachstelle [CWE-120] in FortiAnalyzer, FortiManager, FortiOS und FortiProxy kann es einem privilegierten Angreifer ermöglichen, beliebigen Code oder Befehle über manipulierte CLI `execute restore image` und `execute certificate remote` Operationen mit dem TFTP Protokoll auszuführen.
Betroffen sind:
- FortiManager Version 5.6.0 bis 5.6.11
- FortiManager Version 6.0.0 bis 6.0.11
- FortiManager Version 6.2.0 bis 6.2.9
- FortiManager Version 6.4.0 bis 6.4.7
- FortiManager Version 7.0.0 bis 7.0.2
- FortiAnalyzer Version 5.6.0 bis 5.6.11
- FortiAnalyzer Version 6.0.0 bis 6.0.11
- FortiAnalyzer Version 6.2.0 bis 6.2.9
- FortiAnalyzer Version 6.4.0 bis 6.4.7
- FortiAnalyzer Version 7.0.0 bis 7.0.2
- FortiOS Version 6.0.0 bis 6.0.14
- FortiOS Version 6.2.0 bis 6.2.10
- FortiOS-Versionen 6.4.0 bis 6.4.8
- FortiOS Version 7.0.0 bis 7.0.5
- FortiProxy Version 1.0.0 bis 1.0.7
- FortiProxy Version 1.1.0 bis 1.1.6
- FortiProxy Version 1.2.0 bis 1.2.13
- FortiProxy Version 2.0.0 bis 2.0.8
- FortiProxy Version 7.0.0 bis 7.0.3
Bitte aktualisieren Sie auf FortiManager Version 7.0.3 oder höher bzw. 6.4.8 oder höher; FortiAnalyzer auf Version 7.0.3 oder höher bzw. 6.4.8 oder höher; FortiProxy auf Version 7.0.4 oder höher bzw. 2.0.9 oder höher; FortiOS auf Version 7.2.0 oder höher, 7.0.6 oder höher, 6.4.9 oder höher bzw. 6.2.11 oder höher.
Auf den Seiten von Fortinet PSIRT finden Sie eine Auflistung der momentanen Sicherheitslücken.