Kurzmeldung: Fortinet veröffentlicht Updates für zahlreiche Produkte

Kurzmeldung: Fortinet veröffentlicht Updates für zahlreiche Produkte
Lesedauer: 4 Minuten.
Wir raten: Administratoren sollten insbesondere bei den als hohes Risiko eingestuften Sicherheitslücken rasch eine Aktualisierung der Software vornehmen.
Unser Technologiepartner Fortinet hat einige Sicherheitslücken in seinen Produkten aufgespürt – und bereits Updates veröffentlicht, die diese Lücken schließen sollen. Wir listen die Produkte mit den Versionen auf, die ein Update einspielen sollten.

FortiNAC

Ein leeres Passwort in der Konfigurationsdatei [CWE-258] in FortiNAC kann einem authentifizierten Angreifer den Zugriff auf die MySQL-Datenbanken über die CLI ermöglichen.
Davon betroffen sind folgende Versionen:
  • FortiNAC Version 8.3.7
  • FortiNAC Version 8.5.0 bis 8.5.2
  • FortiNAC Version 8.5.4
  • FortiNAC Version 8.6.0
  • FortiNAC Version 8.6.2 bis 8.6.5
  • FortiNAC Version 8.7.0 bis 8.7.6
  • FortiNAC Version 8.8.0 bis 8.8.11
  • FortiNAC Version 9.1.0 bis 9.1.5
  • FortiNAC Version 9.2.0 bis 9.2.3
Fortinet rät, FortiNAC auf Version 9.1.6 oder höher bzw. 9.2.4 oder höher zu updaten.

FortiADC

Mehrere unsachgemäße Neutralisierung von speziellen Elementen, die in einem SQL-Befehl (‚SQL Injection‘) verwendet werden, Schwachstellen [CWE-89] in der FortiADC-Verwaltungsschnittstelle können es einem authentifizierten Angreifer ermöglichen, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen.

Davon betroffen sind folgende Versionen:

  • FortiADC Version 7.0.0 bis 7.0.1
  • FortiADC Version 6.2.0 bis 6.2.2
  • FortiADC Version 6.1.0 bis 6.1.6
  • FortiADC Version 6.0.0 bis 6.0.4
  • FortiADC Version 5.4.0 bis 5.4.5
  • FortiADC Version 5.3.0 bis 5.3.7
  • FortiADC Version 5.2.0 bis 5.2.8
  • FortiADC Version 5.1.0 bis 5.1.7
  • FortiADC Version 5.0.0 bis 5.0.4

Fortinet rät, FortiNADC auf Version 6.2.3 oder höher bzw. 7.0.2 oder höher zu updaten.

FortiManager & FortiAnalyzer

Eine unsachgemäße Neutralisierung spezieller Elemente, die in einem OS-Befehl verwendet werden (‚OS Command Injection‘) Schwachstelle [CWE-78] in FortiAnalyzer & FortiManager kann es einem authentifizierten Angreifer ermöglichen, beliebigen Shell-Code als ‚root‘-Benutzer über ‚Systemdiagnose‘-CLI-Befehle auszuführen.
Außerdem kann eine Privilege-Chaining-Schwachstelle [CWE-268] in FortiManager und FortiAnalyzer einem lokalen und authentifizierten Angreifer mit einer eingeschränkten Shell ermöglichen, seine Privilegien aufgrund falscher Berechtigungen einiger Ordner und ausführbarer Dateien auf dem System zu root zu eskalieren.

Betroffen sind folgende Versionen:

FortiManager:

  • FortiManager Version 7.0.0 bis 7.0.3
  • FortiManager Version 6.4.0 bis 6.4.7
  • FortiManager Version 6.2.0 bis 6.2.9
  • FortiManager Version 6.0.0 bis 6.0.11

FortiAnalyzer:

  • FortiAnalyzer Version 7.0.0 bis 7.0.3
  • FortiAnalyzer Version 6.4.0 bis 6.4.7
  • FortiAnalyzer Version 6.2.0 bis 6.2.9
  • FortiAnalyzer Version 6.0.0 bis 6.0.11

Fortinet rät FortiManager und FortiAnalyzer auf Version 6.4.8 oder höher bzw. 7.0.4 oder höher bzw. 7.2.0 oder höher upzudaten.

FortiDeceptor

Mehrere Verwundbarkeiten in relativen Pfaden [CWE-23] in der FortiDeceptor-Verwaltungsschnittstelle könnten es einem entfernten und authentifizierten Angreifer erlauben, beliebige Dateien aus dem zugrundeliegenden Dateisystem über speziell gestaltete Web-Anfragen abzurufen und zu löschen.

Betroffene Versionen:

  • FortiDeceptor Version 1.0.0 bis 1.0.1
  • FortiDeceptor Version 1.1.0
  • FortiDeceptor Version 2.0.0
  • FortiDeceptor Version 2.1.0
  • FortiDeceptor Version 3.0.0 bis 3.0.2
  • FortiDeceptor Version 3.1.0 bis 3.1.1
  • FortiDeceptor Version 3.2.0 bis 3.2.2
  • FortiDeceptor Version 3.3.0 bis 3.3.2
  • FortiDeceptor Version 4.0.0 bis 4.0.1

Fortinet rät zum Update auf Version 3.3.3 oder höher, 4.0.2 oder höher bzw. 4.1.0 oder höher.

FortiClient (Windows)

Eine relative Pfadüberquerungsschwachstelle [CWE-23] in FortiClient für Windows kann es einem lokalen, nicht privilegierten Angreifer ermöglichen, seine Privilegien über die benannte Pipe, die für den FortiESNAC-Dienst verantwortlich ist, auf SYSTEM zu erweitern.

Betroffene Versionen:

  • FortiClientWindows Version 7.0.0 bis 7.0.2
  • FortiClientWindows Version 6.4.0 bis 6.4.6
  • FortiClientWindows Version 6.2.0 bis 6.2.9

Version 6.4.7 oder höher bzw. 7.0.3 oder höher sind die Versionen, auf die aktualisiert werden sollte.

FortiEDR

Eine unsachgemäße Neutralisierung von Eingaben während der Webseitengenerierung [CWE-79] in FortiEDR Central Manager kann es einem entfernten, authentifizierten Angreifer ermöglichen, einen reflektierten Cross-Site-Scripting-Angriff (XSS) durchzuführen, indem er über verschiedene Endpunkte eine bösartige Nutzlast in die Verwaltungskonsole injiziert.

Betroffene Versionen:

  • FortiEDR Central Manager Version 4.0.0
  • FortiEDR Central Manager Version 5.0.0 bis 5.0.3 Patch 6
  • FortiEDR Central Manager Version 5.1.0

Fortinet rät zum Update auf Version 5.0.3 Patch 7 oder höher bzw. Version 5.2.0 oder höher.

FortiOS & FortiProxy

Eine stapelbasierte Pufferüberlaufschwachstelle [CWE-121] im Befehlszeileninterpreter von FortiOS und FortiProxy kann es einem authentifizierten Angreifer ermöglichen, über speziell gestaltete Befehlszeilenargumente nicht autorisierten Code oder Befehle auszuführen.

Betroffen sind folgende Produkte:

  • FortiProxy Version 1.0.0 bis 1.0.7
  • FortiProxy Version 1.1.0 bis 1.1.6
  • FortiProxy Version 1.2.0 bis 1.2.13
  • FortiProxy Version 2.0.0 bis 2.0.7
  • FortiOS Version 6.0.0 bis 6.0.14
  • FortiOS Version 6.2.0 bis 6.2.10
  • FortiOS Version 6.4.0 bis 6.4.8
  • FortiOS Version 7.0.0 bis 7.0.2

Aktualisieren Sie auf FortiOS Version 7.0.4 oder höher, 6.4.9 oder höher bzw. 6.2.11 oder höher. Aktualisieren Sie auf FortiProxy Version 2.0.8 oder höher.

FortiOS / FortiProxy / FortiAnalyzer / FortiManager

Eine Pufferkopie ohne Überprüfung der Größe der Eingabe (‚Classic Buffer Overflow‘) Schwachstelle [CWE-120] in FortiAnalyzer, FortiManager, FortiOS und FortiProxy kann es einem privilegierten Angreifer ermöglichen, beliebigen Code oder Befehle über manipulierte CLI `execute restore image` und `execute certificate remote` Operationen mit dem TFTP Protokoll auszuführen.

Betroffen sind:

  • FortiManager Version 5.6.0 bis 5.6.11
  • FortiManager Version 6.0.0 bis 6.0.11
  • FortiManager Version 6.2.0 bis 6.2.9
  • FortiManager Version 6.4.0 bis 6.4.7
  • FortiManager Version 7.0.0 bis 7.0.2
  • FortiAnalyzer Version 5.6.0 bis 5.6.11
  • FortiAnalyzer Version 6.0.0 bis 6.0.11
  • FortiAnalyzer Version 6.2.0 bis 6.2.9
  • FortiAnalyzer Version 6.4.0 bis 6.4.7
  • FortiAnalyzer Version 7.0.0 bis 7.0.2
  • FortiOS Version 6.0.0 bis 6.0.14
  • FortiOS Version 6.2.0 bis 6.2.10
  • FortiOS-Versionen 6.4.0 bis 6.4.8
  • FortiOS Version 7.0.0 bis 7.0.5
  • FortiProxy Version 1.0.0 bis 1.0.7
  • FortiProxy Version 1.1.0 bis 1.1.6
  • FortiProxy Version 1.2.0 bis 1.2.13
  • FortiProxy Version 2.0.0 bis 2.0.8
  • FortiProxy Version 7.0.0 bis 7.0.3

Bitte aktualisieren Sie auf FortiManager Version 7.0.3 oder höher bzw. 6.4.8 oder höher; FortiAnalyzer auf Version 7.0.3 oder höher bzw. 6.4.8 oder höher; FortiProxy auf Version 7.0.4 oder höher bzw. 2.0.9 oder höher; FortiOS auf Version 7.2.0 oder höher, 7.0.6 oder höher, 6.4.9 oder höher bzw. 6.2.11 oder höher.

Auf den Seiten von Fortinet PSIRT finden Sie eine Auflistung der momentanen Sicherheitslücken.

Benötigen Sie als Kunde von uns Unterstützung beim Upgrade von FortiMail? Wir helfen hier gerne aus. Kontaktieren Sie uns!
Dieser Blogeintrag beruht in Teilen auf einer Meldung der FortiGuard Labs: https://fortiguard.fortinet.com/psirt

Ihr Ansprechpartner bei VINTIN

Tobias Keller

Sales Lead – Sennfeld

+49 (0)9721 67594 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Zur Datenschutzerklärung

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Zur Datenschutzerklärung

Veranstaltungen
  • Keine Veranstaltungen