Introducció
Fortinet ha publicat diversos avisos de seguretat amb el següent CVSSv3: CVE-2023-42789, CVE-2023-42790 i CVE-2023-48788
- FortiOS & FortiProxy – Out-of-bounds Write in captive portal
- FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
- Pervasive SQL injection in DAS component
- FortiClientEMS – CSV injection in log download feature
Recursos afectats
Afecten el sistema operatiu, FortiOS, FortiProxy, intermediari web que protegeix davant d'atacs procedents d'Internet i la solució d'administració de seguretat FortiClientEMS.
Versions de FortiOS:
- 7.4.0-7.4.1
- 7.2.0-7.2.6
- 7.0.0-7.0.13
- 6.4.0-6.4.14
- 6.2.0-6.2.15
Versions de FortiProxy:
- 7.4.0 – 7.4.2
- 7.2.0 – 7.2.8
- 7.0.0 – 7.0.14
- 2.0.0 – 2.0.13
Versions de FortiClientEMS:
- 7.2.0-7.2.2
- 7.0.0-7.0.10
- Totes les versions 6.4
- Totes les versions 6.2
- Totes les versions 6.0
Solució
Aplicar les darreres actualitzacions de seguretat. Fortinet ha corregit les vulnerabilitats anteriorment descrites. Es recomana actualitzar a les versions indicades:
Pels productes FortiOS:
- Actualitzar a FortiOS versió 7.4.2 o superior.
- Actualitzar a FortiOS versió 7.2.7 o superior.
- Actualitzar a FortiOS versió 7.0.14 o superior.
- Actualitzar a FortiOS versió 6.4.15 o superior.
- Actualitzar a FortiOS versió 6.2.16 o superior.
Pels productes FortiProxy:
- Actualitzar a FortiProxy versió 7.4.3 o superior.
- Actualitzar a FortiProxy versió 7.2.9 o superior.
- Actualitzar a FortiProxy versió 7.0.15 o superior.
- Actualitzar a FortiProxy versió 2.0.14 o superior.
Pels productes FortiClientEMS:
- Actualitzar a FortiClientEMS versió 7.2.3 o superior.
- Actualitzar a FortiClientEMS versió 7.0.11 o superior.
- Per a les altres versions afectades, es recomana migrar a una versió actualitzada del FortiClientEMS.
Es recomana seguir la ruta d'actualització recomanada per la eina de Fortinet.
Addicionalment, Fortinet ha proporcionat mesures de mitigació alternatives de seguretat que hauran de ser implementades pels administradors de sistemes que no siguin capaços d'aplicar les actualitzacions descrites.