Fortinet修复FortiOS和FortiProxy中的严重漏洞

Fortinet解决了影响FortiOS和FortiProxy的严重堆缓冲区下溢漏洞，该漏洞可能导致任意代码执行。

Fortinet解决了位于FortiOS和FortiProxy管理界面中的关键缓冲区覆盖（“缓冲区溢出”）漏洞，跟踪为CVE-2023-25610 (CVSS v3 9.3)。远程、未经身份验证的攻击者可以利用此漏洞在易受攻击的设备上执行任意代码，并通过发送特制请求在 GUI 上触发DoS条件。

该漏洞影响以下产品：

• FortiOS 版本 7.2.0 到 7.2.3
• FortiOS 版本 7.0.0 到 7.0.9
• FortiOS 版本 6.4.0 到 6.4.11
• FortiOS 版本 6.2.0 到 6.2.12
• FortiOS 6.0，所有版本
• FortiProxy 版本 7.2.0 到 7.2.2
• FortiProxy 版本 7.0.0 到 7.0.8
• FortiProxy 版本 2.0.0 到 2.0.11
• FortiProxy 1.2，所有版本
• FortiProxy 1.1，所有版本

安全供应商发布了以下更新来解决该问题：

• FortiOS 7.4.0 或以上版本
• FortiOS 7.2.4 或以上版本
• FortiOS 版本 7.0.10 或以上
• FortiOS 版本 6.4.12 或以上
• FortiOS 版本 6.2.13 或以上
• FortiProxy 版本 7.2.3 或以上
• FortiProxy 版本 7.0.9 或以上
• FortiProxy 版本 2.0.12 或以上
• FortiOS-6K7K 版本 7.0.10 或以上
• FortiOS-6K7K 版本 6.4.12 或以上
• FortiOS-6K7K 版本 6.2.13 或以上

该公司宣布，它不知道利用此漏洞的野外攻击。

该公告包括一个模型列表，利用该缺陷只能触发DoS条件。

Fortinet还针对该漏洞提供了一种变通方法，该公司建议禁用HTTP/HTTPS管理界面或限制可以访问管理界面的IP地址。

该安全供应商感谢Burnaby InfoSec团队的Kai Ni报告了该漏洞。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4825.html