iT邦幫忙

1

修補 Fortigate SSL VPN Web門戶中的不正當授權漏洞

  • 分享至 

  • xImage
  •  

IThome新聞揭露,經由8月7日Black Hat USA 2019大會中
有關三個知名資安品牌的SSL VPN漏洞消息,
相關細節新聞請參考

其中有關Fortigate SSL VPN Web門戶中的不正當授權漏洞修補
已於2019年5月24日公告於FortiGuard實驗室


未經身份驗證的SSL VPN用戶密碼修改

摘要
SSL VPN Web門戶中的不正當授權漏洞,可能允許未經身份驗證的攻擊者
通過特製的HTTP請求更改SSL VPN Web門戶用戶的密碼。

受影響的產品
FortiOS 6.0.0到6.0.4
FortiOS 5.6.0到5.6.8
FortiOS 5.4.1至5.4.10

僅在啟用 SSL-VPN 服務(Web模式或隧道模式)時。

請注意,只有具有本地身份驗證的用戶受到影響
具有遠程身份驗證(LDAP或RADIUS)的 SSL-VPN 用戶不受影響。

5.4.0及以下版本(包括分支5.2)不受影響。

解決方案:
升級到FortiOS 5.4.11,5.6.9,6.0.5,6.2.0或以上版本。


建議網上同好請自行或經服務SI盡快升級作業系統


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
jimmyhiyawu
iT邦新手 3 級 ‧ 2019-08-09 16:33:44

感謝大大的回饋!超實用的!

我要留言

立即登入留言