| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告: Fortinet 發布多個產品的安全性更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Fortinet官網並依建議方式處理更新至最新版本。 更詳細資訊請參考官網說明。 (1) FortiClientWindows 6.4版升版至已修補版本 (2) FortiClientWindows 7.0版更新至 7.0.13 (含) 之後的版本 (3) FortiClientWindows 7.2版更新至 7.2.5 (含) 之後的版本 (4) FortiClientWindows 7.4版更新至 7.4.1 (含) 之後的版本 (5) FortiOS 7.0 版更新至 7.0.14 (含) 之後的版本 (6) FortiOS 7.2 版更新至 7.2.8 (含) 之後的版本 (7) FortiOS 7.4 版更新至 7.4.4 (含) 之後的版本 (8) FortiManager 6.4 版更新至 6.4.15 (含) 之後的版本 (9) FortiManager 7.0 版更新至 7.0.13 (含) 之後的版本 (10) FortiManager 7.2 版更新至 7.2.6 (含) 之後的版本 (11) FortiManager 7.4 版更新至 7.4.3 (含) 之後的版本 (12) FortiAnalyzer 6.4 版更新至 6.4.15 (含) 之後的版本 (13) FortiAnalyzer 7.0 版更新至 7.0.13 (含) 之後的版本 (14) FortiAnalyzer 7.2 版更新至 7.2.6 (含) 之後的版本 (15) FortiAnalyzer 7.4 版更新至 7.4.3 (含) 之後的版本 (16) FortiAnalyzer-BigData 6.2 版升版至已修補版本 (17) FortiAnalyzer-BigData 6.4 版升版至已修補版本 (18) FortiAnalyzer-BigData 7.0 版升版至已修補版本 (19) FortiAnalyzer-BigData 7.2 版更新至 7.2.7 (含) 之後的版本 (20) FortiAnalyzer-BigData 7.4 版更新至 7.4.1 (含) 之後的版本 |
| 細節描述: | Fortinet 已發布安全性更新,以解決包括 FortiOS 在內的多個產品中的漏洞:1. FortiClient Windows 中的權限上下文切換錯誤漏洞,可能允許經過驗證的使用者透過 lua 自動修補腳本升級其權限。 2. FortiOS 中的會話固定漏洞,可能允許未經身份驗證的攻擊者透過網路釣魚 SAML 身份驗證連結劫持使用者會話。 3. FortiAnalyzer 中伺服器端安全漏洞,用戶端強制執行可能允許至少具有唯讀權限的經過驗證的攻擊者透過精心設計的請求執行敏感操作。 4. 使用 FortiClient Windows |
| 參考資訊: | cisa Fortinet1 Fortinet2 Fortinet3 Fortinet4 |