說明:
EnGenius Fit全系列專案規劃
請洽詢客服電話0800-050-868專業諮詢,客服時間週一至週五上午9:00 至下午5:00。
了解更多
說明:
FortiOS SSL VPN 身份驗證前的堆疊記憶體緩衝區溢位弱點 [CWE122] 可能允許未經身份驗證的遠端攻擊者透過精密設計的訪問要求進而執行任意代碼或命令。
目前這些漏洞所影響的產品:
FortiOS-6K7K版本7.0.10、7.0.5
6.4.12、 6.4.10 、 6.4.8 、 6.4.6 、 6.4.2
6.2.9到 6.2.13 、 6.2.6 到 6.2.7 、 6.2.4;6.0.12到 6.0.16
FortiOS版本7.2.0到7.2.4
建議作法:
確認VPN SSL VPN Settings 紅框處 SSL VPN是否有啟用。如無須SSL VPN相關功能,但選項卻是Enable的話,請將它Disable。
須使用SSL VPN功能並啟用,建議受影響的用戶請立即更新至以下版本:
FortiOS 6K7K 版本:請更新至7.0.12或以上、6.4.13或以上、6.2.15或以上、6.0.17或以上
FortiOS版本:請更新至FortiOS版本7.4.0或以上、7.2.5或以上、7.0.12或以上、6.4.13或以上、6.2.14或以上、6.0.17或以上
FortiProxy版本:7.2.4或以上、7.0.10或以上
非受影響的版本或已更新到上述版本,則不需擔心此漏洞,不會造成任何影響。
細部執行作法請參考FortiGuard網站PSIRT Advisory FG-IR-23-097詳細資訊
說明:
CVE-2022-40684 是FortiOS、FortiProxy以及FortiSwitchManager管理介面的繞過身份驗證弱點,可能允許未經身份驗證的攻擊者通過特製的HTTP或HTTPS請求來在管裡屆面上執行任意的維運作業。
目前這些漏洞所影響的產品:
FortiOS版本7.2.0到7.2.1
FortiOS版本7.0.0到7.0.6
建議作法:
建議受影響的用戶請立即更新至以下版本:
請更新至FortiOS版本7.2.2或以上
請更新至FortiOS版本7.0.7或以上
非受影響的版本或已更新到上述版本,則不需擔心此漏洞,不會造成任何影響。
若現行設備無法更新到所要求之版本,相關配套處理方式:管制可以存取到管理介面的IP 位址(Limit IP addresses that can reach the administrative interface)。
說明:
編號CVE-2021-44228漏洞又被稱為Log4shell,危險等級:CVE-2021-40444(CVSS:3.1
10),屬重大危險等級。
發生於開源日誌資料庫Log4j,Log4j的JNDI功能可用於組態、紀錄訊息。
遠端程式碼執行(remote code
execution,RCE)漏洞,是Log4j的JDNI
API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息,而自LDAP伺服器下載惡意程式碼至受害系統執行,最嚴重可接管整臺系統。
建議作法:
進行資產盤點,若資訊系統架構中有Apache
Log4j之伺服器主機,需依照附件進行版本升級,或更改系統參數。
更新Fortinet防火牆IPS Signature版本至19.00218。
無論是具有成本效益優勢的虛擬機器,還是全方位管理的應用程式開發平台, 所有資源一應俱全。
我們精心打造的服務安全、範圍遍及全球、效能優異、成本效益高,
加上有國際大廠專業團隊持續改良,所以耐用度極高,就算長期使用也不會被時間淘汰。
只要開始採用服務,您就可以取得中華電信Intranet Service合作夥伴的協助。無論您是希望找到可立即使用的解決方案、遷移作業協助、全新應用程式的開發建議、概念驗證諮詢,或屬於您的雲端策略支援服務中華電信Intranet Service合作夥伴都能加速您的專案進程並提升業務成效。
訓練有素的中華電信Intranet Service合作夥伴當中也有經 中華電信Intranet Service認證的專家,他們都具備運用中華電信Intranet Service成功協助客戶的實際經驗。我們的合作夥伴網路集結了許多專業人士,他們在各種產業、工作規模和解決方案方面均有豐富的經驗。
我們的全球合作夥伴網路不僅可以協助您加快創新的腳步、靈活調度資源,同時也能保障您的資訊安全。需要特定領域的專業支援服務嗎?不妨尋找具備專業合作夥伴認證的合作夥伴來協助您!合作夥伴皆已通過嚴格的技術評量,並且在專業領域擁有成功協助客戶的實際經驗。