【漏洞通告】Fortinet多個安全漏洞-啟明星辰

<button id="hmaw9"><acronym id="hmaw9"></acronym></button>

<nav id="hmaw9"></nav>

首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Fortinet多個安全漏洞

發布時間 2021-01-07

0x00 漏洞概述

產品名稱	CVE ID	類型	漏洞等級	遠程利用
FortiGate SSL VPN	CVE-2020-29010	信息泄露	中危	是
FortiWeb	CVE-2020-29015	SQL注入	中危	是
	CVE-2020-29016	緩沖區溢出	中危	是
	CVE-2020-29018	信息泄露	中危	是
	CVE-2020-29019	緩沖區溢出	中危	是
FortiDeceptor	CVE-2020-29017	命令注入	高危	是

0x01 漏洞詳情

Fortinet（飛塔）是美國一家網絡安全公司，作為多層威脅防御系統的創新者和先鋒，其涉及的安全體系涵蓋防病毒、防火墻、VPN、入侵檢測和防御、反垃圾郵件和流量優化等。

2021年01月04日，FortiGuard實驗室發布安全公告，公開了其多款產品中的多個安全漏洞，細節如下：

FortiGate SSL VPN信息泄露漏洞（CVE-2020-29010）

FortiGate SSL VPN中存在一個信息泄露漏洞，其CVSS評分4.9。攻擊者可以通過從CLI執行“ get vpn ssl monitor”命令來讀取其它VDOM中用戶的SSL VPN事件日志記錄，其中敏感數據包括用戶名、用戶組和IP地址。

影響范圍

FortiGate 6.0.10及之前版本。

FortiGate 6.2.4及之前版本。

FortiGate 6.4.1及之前版本。

FortiWeb SQL注入漏洞（CVE-2020-29015）

FortiWeb用戶界面存在一個SQL注入漏洞，其CVSS評分6.4。攻擊者可以通過發送包含惡意SQL語句的Authorization標頭的請求來執行任意SQL查詢或命令。

影響范圍

FortiWeb 6.3.7及之前版本。

FortiWeb 6.2.3及之前版本。

FortiWeb緩沖區溢出漏洞（CVE-2020-29016）

FortiWeb中存在一個基于堆棧的緩沖區溢出漏洞，其CVSS評分6.4。攻擊者能夠利用此漏洞覆蓋堆棧的內容，并通過發送帶有證書名的惡意請求來執行任意命令或代碼。

影響范圍

FortiWeb 6.3.5及之前版本。

FortiWeb 6.2.3及之前版本。

FortiDeceptor命令注入漏洞（CVE-2020-29017）

FortiDeceptor的自定義頁面中存在一個OS命令注入漏洞，其CVSS評分8.1。成功利用此漏洞的攻擊者可以在系統上執行任意命令。

影響范圍

FortiDeceptor 3.1.0及之前版本。

FortiDeceptor 3.0.1及之前版本。

FortiWeb信息泄露漏洞（CVE-2020-29018）

FortiWeb中存在一個格式字符串漏洞，其CVSS評分5.3。成功利用此漏洞的攻擊可以通過redir參數讀取內存內容并檢索敏感數據。

影響范圍

FortiWeb 6.3.5及之前版本。

FortiWeb緩沖區溢出漏洞（CVE-2020-29019）

FortiWeb中存在一個基于堆棧的緩沖區溢出漏洞，其CVSS評分6.4。成功利用此漏洞的攻擊者可以通過發送帶有惡意Cookie標頭的請求來使httpd守護程序線程崩潰，最終導致拒絕服務。

影響范圍

FortiWeb 6.3.7及之前版本。

FortiWeb 6.2.3及之前版本。

0x02 處置建議

目前Fortinet已經修復了相關漏洞，建議參考下表及時升級。

漏洞編號	修復版本
CVE-2020-29010	FortiGate 6.0.11或更高版本。 FortiGate 6.2.5或更高版本。 FortiGate 6.4.2或更高版本。
CVE-2020-29015	FortiWeb 6.3.8或更高版本。 FortiWeb 6.2.4或更高版本。
CVE-2020-29016	FortiWeb 6.3.6或更高版本。 FortiWeb 6.2.4或更高版本。
CVE-2020-29017	FortiDeceptor 3.2.0或更高版本。 FortiDeceptor 3.1.1或更高版本。 FortiDeceptor 3.0.2或更高版本。
CVE-2020-29018	FortiWeb 6.3.6或更高版本。
CVE-2020-29019	FortiWeb 6.3.8或更高版本。 FortiWeb 6.2.4或更高版本。

0x03 參考鏈接

https://www.fortiguard.com/psirt

https://www.fortiguard.com/psirt/%20FG-IR-20-124

https://www.fortinet.com/resources?

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29015

0x04 時間線

2021-01-04 FortiGuard發布安全公告

2021-01-07 VSRC發布安全通告

0x05 附錄

CVSS評分標準官網：http://www.first.org/cvss/

上一篇下一篇

7*24小時服務熱線

400-624-3900

官方微信

官方微博

法律聲明

Copyright ? 啟明星辰版權所有京ICP備05032414號京公網安備11010802024551號

日韩一级无码精品电影,99re99精品精品免费,91精品网曝门事件在线观看,日韩欧美精品户外