News 最新消息

說明:
FortiOS SSL VPN 身份驗證前的堆疊記憶體緩衝區溢位弱點 [CWE122] 可能允許未經身份驗證的遠端攻擊者透過精密設計的訪問要求進而執行任意代碼或命令。
目前這些漏洞所影響的產品：
 FortiOS-6K7K版本7.0.10、7.0.5
 6.4.12、 6.4.10 、 6.4.8 、 6.4.6 、 6.4.2
 6.2.9到 6.2.13 、 6.2.6 到 6.2.7 、 6.2.4；6.0.12到 6.0.16
 FortiOS版本7.2.0到7.2.4

建議作法:
確認VPN SSL VPN Settings 紅框處 SSL VPN是否有啟用。如無須SSL VPN相關功能，但選項卻是Enable的話，請將它Disable。
須使用SSL VPN功能並啟用，建議受影響的用戶請立即更新至以下版本：
 FortiOS 6K7K 版本：請更新至7.0.12或以上、6.4.13或以上、6.2.15或以上、6.0.17或以上
 FortiOS版本：請更新至FortiOS版本7.4.0或以上、7.2.5或以上、7.0.12或以上、6.4.13或以上、6.2.14或以上、6.0.17或以上
 FortiProxy版本：7.2.4或以上、7.0.10或以上
 非受影響的版本或已更新到上述版本，則不需擔心此漏洞，不會造成任何影響。
細部執行作法請參考FortiGuard網站PSIRT Advisory FG-IR-23-097詳細資訊

說明:
CVE-2022-40684 是FortiOS、FortiProxy以及FortiSwitchManager管理介面的繞過身份驗證弱點，可能允許未經身份驗證的攻擊者通過特製的HTTP或HTTPS請求來在管裡屆面上執行任意的維運作業。
目前這些漏洞所影響的產品：
 FortiOS版本7.2.0到7.2.1
 FortiOS版本7.0.0到7.0.6

建議作法:
建議受影響的用戶請立即更新至以下版本：
 請更新至FortiOS版本7.2.2或以上
 請更新至FortiOS版本7.0.7或以上
 非受影響的版本或已更新到上述版本，則不需擔心此漏洞，不會造成任何影響。
若現行設備無法更新到所要求之版本，相關配套處理方式：管制可以存取到管理介面的IP 位址(Limit IP addresses that can reach the administrative interface)。

說明:
編號CVE-2021-44228漏洞又被稱為Log4shell，危險等級:CVE-2021-40444(CVSS:3.1 10)，屬重大危險等級。
發生於開源日誌資料庫Log4j，Log4j的JNDI功能可用於組態、紀錄訊息。
遠端程式碼執行(remote code execution，RCE)漏洞，是Log4j的JDNI API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息，而自LDAP伺服器下載惡意程式碼至受害系統執行，最嚴重可接管整臺系統。

建議作法:
進行資產盤點，若資訊系統架構中有Apache Log4j之伺服器主機，需依照附件進行版本升級，或更改系統參數。
更新Fortinet防火牆IPS Signature版本至19.00218。