iT邦幫忙

1

修補 Fortigate SSL VPN Web門戶中的不正當授權漏洞

IThome新聞揭露,經由8月7日Black Hat USA 2019大會中
有關三個知名資安品牌的SSL VPN漏洞消息,
相關細節新聞請參考

其中有關Fortigate SSL VPN Web門戶中的不正當授權漏洞修補
已於2019年5月24日公告於FortiGuard實驗室


未經身份驗證的SSL VPN用戶密碼修改

摘要
SSL VPN Web門戶中的不正當授權漏洞,可能允許未經身份驗證的攻擊者
通過特製的HTTP請求更改SSL VPN Web門戶用戶的密碼。

受影響的產品
FortiOS 6.0.0到6.0.4
FortiOS 5.6.0到5.6.8
FortiOS 5.4.1至5.4.10

僅在啟用 SSL-VPN 服務(Web模式或隧道模式)時。

請注意,只有具有本地身份驗證的用戶受到影響
具有遠程身份驗證(LDAP或RADIUS)的 SSL-VPN 用戶不受影響。

5.4.0及以下版本(包括分支5.2)不受影響。

解決方案:
升級到FortiOS 5.4.11,5.6.9,6.0.5,6.2.0或以上版本。


建議網上同好請自行或經服務SI盡快升級作業系統


1 則留言

0
jimmyhiyawu
iT邦新手 4 級 ‧ 2019-08-09 16:33:44

感謝大大的回饋!超實用的!

我要留言

立即登入留言