IThome新聞揭露,經由8月7日Black Hat USA 2019大會中
有關三個知名資安品牌的SSL VPN漏洞消息,
相關細節新聞請參考
其中有關Fortigate SSL VPN Web門戶中的不正當授權漏洞修補
已於2019年5月24日公告於FortiGuard實驗室
未經身份驗證的SSL VPN用戶密碼修改
摘要
SSL VPN Web門戶中的不正當授權漏洞,可能允許未經身份驗證的攻擊者
通過特製的HTTP請求更改SSL VPN Web門戶用戶的密碼。
受影響的產品
FortiOS 6.0.0到6.0.4
FortiOS 5.6.0到5.6.8
FortiOS 5.4.1至5.4.10
僅在啟用 SSL-VPN 服務(Web模式或隧道模式)時。
請注意,只有具有本地身份驗證的用戶受到影響
具有遠程身份驗證(LDAP或RADIUS)的 SSL-VPN 用戶不受影響。
5.4.0及以下版本(包括分支5.2)不受影響。
解決方案:
升級到FortiOS 5.4.11,5.6.9,6.0.5,6.2.0或以上版本。
建議網上同好請自行或經服務SI盡快升級作業系統