Fortinet udsender sikkerhedsopdateringer

Sårbarheder i Fortiweb, FortiOS og FortiProxy.

Fortinet har udgivet sikkerhedsopdateringer til håndtering af to sårbarheder, der påvirker to af Fortinets produkter.

Den ene sårbarhed har id’et CVE-2023-34984 og en CVSS-score på 7,1, det vil sige, at den betegnes som alvorlig. Ifølge en advisory, som Fortinet har offentliggjort, kan fejlen gøre det muligt for en angriber at omgå XSS- og CSRF-beskyttelse i Fortiweb. De påvirkede produkter er:

  • FortiWeb version 7.2.0 til 7.2.1
  • FortiWeb version 7.0.0 til 7.0.6
  • FortiWeb 6.4 alle versioner
  • FortiWeb 6.3 alle versioner

Det anbefales, at der opgraderes til hhv FortiWeb version 7.2.2 og derover eller FortiWeb version 7.0.7 eller derover.

Den anden sårbarhed har id’et CVE-2023-29183 og en score på 7,3. Den påvirker FortiOS og FortiProxy GUI og gør det muligt for en autentificeret angriber at udløse ondsindet JavaScript-kodekørsel.

De påvirkede produkter er:

  • FortiProxy version 7.2.0 til 7.2.4
  • FortiProxy version 7.0.0 til 7.0.10
  • FortiOS version 7.2.0 til 7.2.4
  • FortiOS version 7.0.0 til 7.0.11
  • FortiOS version 6.4.0 til 6.4.12
  • FortiOS version 6.2.0 til 6.2.14

Løsningen er opgradering til

  • FortiProxy version 7.2.5 eller derover
  • FortiProxy version 7.0.11 eller derover
  • FortiOS version 7.4.0 eller derover
  • FortiOS version 7.2.5 eller derover
  • FortiOS version 7.0.12 eller derover
  • FortiOS version 6.4.13 eller derover
  • FortiOS version 6.2.15 eller derover

Fortinet er en større udbyder af sikkerhedsløsninger i produkterne FortiWeb, FortiOS, FortiNAC og FortiProxy.

Links:

https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products

https://www.fortiguard.com/psirt/FG-IR-23-106

https://www.fortiguard.com/psirt/FG-IR-23-068