Fortinet 已发布修复程序以解决 15 个安全漏洞,包括一个影响 FortiOS 和 FortiProxy 的严重漏洞,该漏洞可能使威胁行为者能够控制受影响的系统。
“FortiOS 和 FortiProxy 管理界面中的缓冲区包销(‘缓冲区下溢’)漏洞可能允许未经身份验证的远程攻击者通过特制请求在设备上执行任意代码和/或在 GUI 上执行 DoS,”Fortinet 在一份报告中说。咨询。
其他可能的后果包括内存损坏,它可以被武器化以引发崩溃或执行任意代码。
Fortinet 表示,它不知道有任何针对该漏洞的恶意利用尝试。但鉴于软件中的先前缺陷已在野外遭到积极滥用,因此用户必须迅速行动以应用补丁。
以下版本的 FortiOS 和 FortiProxy 受此漏洞影响 -
FortiOS 版本 7.2.0 到 7.2.3
FortiOS 版本 7.0.0 到 7.0.9
FortiOS 版本 6.4.0 到 6.4.11
FortiOS 版本 6.2.0 到 6.2.12
FortiOS 6.0 所有版本
FortiProxy 版本 7.2.0 到 7.2.2
FortiProxy 版本 7.0.0 到 7.0.8
FortiProxy 版本 2.0.0 到 2.0.11
FortiProxy 1.2 所有版本
FortiProxy 1.1 所有版本
FortiOS 版本 6.2.13、6.4.12、7.0.10、7.2.4 和 7.4.0 中提供修复;FortiOS-6K7K 版本 6.2.13、6.4.12 和 7.0.10;和 FortiProxy 版本 2.0.12、7.0.9 和 7.0.9。
作为解决方法,Fortinet 建议用户禁用 HTTP/HTTPS 管理界面或限制可以访问它的 IP 地址。
数周前,网络安全公司发布了针对40 个漏洞的修复程序,其中两个被评为严重并影响 FortiNAC (CVE-2022-39952) 和 FortiWeb (CVE-2021-42756) 产品。
