| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Fortinet發佈多個安全更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | (1)FortiClientEMS 7.2版更新至FortiClientEMS 7.2.3之後版本 (2) FortiClientEMS 7.0版更新至FortiClientEMS 7.0.11之後版本 (3) FortiClientEMS 6.4版更新至 特定修復的的版本 (4) FortiClientEMS 6.2版更新至 特定修復的的版本 (5) FortiClientEMS 6.0版更新至 特定修復的的版本 (6) FortiOS 7.4版更新至FortiOS 7.4.2之後版本 (7) FortiOS 7.2版更新至FortiOS 7.2.7之後版本 (8) FortiOS 7.0版更新至FortiOS 7.0.14之後版本 (9) FortiOS 6.4版更新至FortiOS 6.4.15之後版本 (10) FortiOS 6.2版更新至FortiOS 6.2.16之後版本 (11) FortiProxy 7.4版更新至FortiProxy 7.4.3之後版本 (12) FortiProxy 7.2版更新至FortiProxy 7.2.9之後版本 (13) FortiProxy 7.0版更新至FortiProxy 7.0.15之後版本 (14) FortiProxy 2.0版更新至FortiProxy 2.0.14之後版本 (15) FortiManager 7.4版更新至FortiManager 7.4.1之後版本 (16) FortiManager 7.2版更新至FortiManager 7.2.4之後版本 (17) FortiManager 7.0版更新至FortiManager 7.0.11之後版本 (18) FortiManager 6.4版更新至FortiManager 6.4.14之後版本 (19) FortiManager 6.2版更新至 特定修復的的版本 |
| 細節描述: | 1.FortiClientEMS中SQL命令漏洞(CWE-89)未適當地中和特殊元素,可能允許未經身份驗證的攻擊者透過特製的請求執行未經授權的程式碼或命令。 2. FortiClientEMS 中 CSV 檔案漏洞(CWE-1236)未適當中和公式元素,可能允許遠端未經身份驗證的攻擊者通過特製請求的惡意日誌條目,在管理工作站上執行命令。 3. FortiOS 和 FortiProxy SSLVPN 中的使用者控制金鑰漏洞(CWE-639)可能允許已驗證的攻擊者通過 URL操作獲取另一個使用者的書籤。 4. FortiOS 和 FortiProxy 強制入口網站中的越界寫入漏洞(CWE-787)和基於堆疊的緩衝區溢出漏洞(CWE-121)可能允許內部攻擊者(具有對強制入口網站的訪問權限)通過特製的 HTTP 請求執行任意程式碼或命令。 5. FortiManager 中的 FortiWLM MEA 存取控制不當漏洞 (CWE-284)可能允許未經身份驗證的遠端攻擊者通過特製的請求執行任意程式碼或命令。 請注意,FortiWLM MEA 不是預設安裝在 FortiManager 上的,並且可以通過停用作為一種解決方法。 |
| 參考資訊: | FortiClientEMS FortiOS FortiOS & FortiProxy FortiManager FortiClientEMS Pervasive SQL injection |