| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告: Fortinet 已發布多個產品安全性更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | (1)FortiClientMac 7.2版更新至FortiClientMac 7.2.4之後版本 (2) FortiClientMac 7.0版更新至FortiClientMac 7.0.11之後版本 (3) FortiClientLinux 7.2版更新至FortiClientLinux 7.2.1之後版本 (4) FortiClientLinux 7.0版更新至FortiClientLinux 7.0.11之後版本 (5) FortiOS 7.4版更新至FortiOS 7.4.2之後版本 (6) FortiOS 7.2版更新至FortiOS 7.2.7之後版本 (7) FortiOS 7.0版更新至FortiOS 7.0.13之後版本 (8) FortiOS 6.4版更新至FortiOS 6.4.15之後版本 (9) FortiOS 6.2版更新至FortiOS 6.2.16之後版本 (10)FortiOS 6.0版更新至 特定修復的版本 (11)FortiProxy 7.4版更新至FortiProxy 7.4.2之後版本 (12)FortiProxy 7.2版更新至FortiProxy 7.2.8之後版本 (13)FortiProxy 7.0版更新至FortiProxy 7.0.14之後版本 (14)FortiProxy 2.0版更新至 特定修復的版本 (15)FortiProxy 1.2版更新至 特定修復的版本 (16)FortiProxy 1.1版更新至 特定修復的版本 (17)FortiProxy 1.0版更新至 特定修復的版本 |
| 細節描述: | 1.FortiClientMac 安裝程式中的檔案名稱或路徑外部控制漏洞(CWE-73) 可能允許本機攻擊者在開始安裝程序之前透過在 /tmp 中寫入惡意設定檔來執行任意程式碼或命令。 2. FortiOS 和 FortiProxy 中的憑證保護不足漏洞 (CWE-522) 可能允許攻擊者欺騙管理員透過 SSL-VPN 存取惡意攻擊者控制的網站,在罕見和特定的情況下取得管理員 cookie。 3. FortiClientLinux 中的程式碼產生控制不當(程式碼注入)漏洞 (CWE-94)可能允許未經身份驗證的攻擊者透過誘騙 FortiClientLinux 使用者造訪惡意網站來執行任意程式。 |
| 參考資訊: | FortiClientMac FortiClient Linux FortiOS & FortiProxy |