【漏洞预警】CNNVD 关于Fortinet 多个安全漏洞的通报

发布时间:2021-01-08   

       近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet 多个安全漏洞的通报,其中包括FortiGate 安全漏洞(CNNVD-202101-353、CVE-2020-29010)、Fortinet FortiWeb 安全漏洞(CNNVD-202101-356、CVE-2020-29019)等6个安全漏洞。成功利用漏洞的攻击者,可通过构造恶意数据远程执行命令,读取内存中的敏感信息等。Fortinet多个产品及版本受漏洞影响。目前,Fortinet官方已经发布了版本更新修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。

一、漏洞介绍

       Fortinet FortiGate、Fortinet FortiWeb、Fortinet FortiDeceptor等都是美国飞塔(Fortinet)公司的产品,其中Fortinet FortiGate是一套网络安全平台。Fortinet FortiWeb是一款Web应用层防火墙。Fortinet FortiDeceptor是一款网络威胁检测平台。

1、Fortinet FortiGate 安全漏洞(CNNVD-202101-353、CVE-2020-29010):FortiGate 存在安全漏洞,攻击者可利用该漏洞通过Events Log Entries绕过对数据的访问限制,以获取敏感信息。以下产品及版本受到影响:FortiWeb 6.3.5及以下版本, FortiWeb 6.2.3及以下版本。

2、Fortinet FortiWeb SQL注入漏洞(CNNVD-202101-361、CVE-2020-29015):FortiWeb 的用户界面存在SQL注入漏洞,该漏洞源于允许未经身份验证的远程攻击者发送包含精心设计的Authorization标头的请求来执行SQL语句。以下产品及版本受到影响:FortiWeb 6.3.7及以下版本,FortiWeb 6.2.3及以下版本。

3、Fortinet FortiWeb 缓冲区错误漏洞(CNNVD-202101-358、CVE-2020-29016):FortiWeb 存在缓冲区错误漏洞,该漏洞允许未经身份验证的远程攻击者覆盖堆栈的内容。并执行任意代码。以下产品及版本受到影响:FortiWeb 6.3.5及以下版本,FortiWeb 6.2.3及以下版本。

4、Fortinet FortiDeceptor 安全漏洞(CNNVD-202101-363、CVE-2020-29017):FortiDeceptor存在安全漏洞,该漏洞允许远程用户在目标系统上执行任意shell命令。以下产品及版本受到影响:FortiDeceptor 3.0.0, 3.0.1, 3.1.0。

5、Fortinet FortiWeb 安全漏洞(CNNVD-202101-360、CVE-2020-29018):Fortinet FortiWeb存在安全漏洞,该漏洞允许远程用户访问敏感信息。以下产品及版本受到影响:Fortinet FortiWeb 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5。

6、Fortinet FortiWeb 安全漏洞(CNNVD-202101-356、CVE-2020-29019):Fortinet FortiWeb 存在安全漏洞,该漏洞允许远程攻击者执行拒绝服务(DoS)攻击。以下产品及版本受到影响:Fortinet FortiWeb 6.2.0, 6.2.1, 6.2.2, 6.2.3, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7。

二、修复建议

       目前,Fortinet官方已经发布了版本更新修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。Fortinet官方更新链接如下:

序号

漏洞名称

官方链接

1

Fortinet FortiGate 安全漏洞(CNNVD-202101-353CVE-2020-29010

https://www.fortiguard.com/psirt/FG-IR-20-103

2

Fortinet FortiWeb SQL注入漏洞(CNNVD-202101-361CVE-2020-29015

https://www.fortiguard.com/psirt/%20FG-IR-20-124

3

Fortinet FortiWeb 缓冲区错误漏洞(CNNVD-202101-358CVE-2020-29016

https://www.fortiguard.com/psirt/FG-IR-20-125

4

Fortinet FortiDeceptor 安全漏洞(CNNVD-202101-363CVE-2020-29017

https://www.fortiguard.com/psirt/FG-IR-20-177

5

Fortinet FortiWeb 安全漏洞(CNNVD-202101-360CVE-2020-29018

https://www.fortiguard.com/psirt/FG-IR-20-123

6

Fortinet FortiWeb 安全漏洞(CNNVD-202101-356CVE-2020-29019

https://www.fortiguard.com/psirt/%20FG-IR-20-126



       本通报由CNNVD技术支撑单位——北京奇虎科技有限公司、北京华顺信安科技有限公司、北京华云安信息技术有限公司、北京启明星辰信息安全技术有限公司、浪潮电子信息产业股份有限公司、北京山石网科信息技术有限公司等技术支撑单位提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

       联系方式: cnnvd@itsec.gov.cn




漏洞预警快速查询

热点漏洞

更多