用户投稿IThome新闻揭露,经由8月7日Black Hat USA 2019大会中
有关三个知名资安品牌的SSL VPN漏洞消息,
相关细节新闻请参考
其中有关Fortigate SSL VPN Web门户中的不正当授权漏洞修补
已于2019年5月24日公告于FortiGuard实验室
未经身份验证的SSL VPN用户密码修改
摘要
SSL VPN Web门户中的不正当授权漏洞,可能允许未经身份验证的攻击者
通过特製的HTTP请求更改SSL VPN Web门户用户的密码。
受影响的产品
FortiOS 6.0.0到6.0.4
FortiOS 5.6.0到5.6.8
FortiOS 5.4.1至5.4.10
仅在启用 SSL-VPN 服务(Web模式或隧道模式)时。
请注意,只有具有本地身份验证的用户受到影响
具有远程身份验证(LDAP或RADIUS)的 SSL-VPN 用户不受影响。
5.4.0及以下版本(包括分支5.2)不受影响。
解决方案:
升级到FortiOS 5.4.11,5.6.9,6.0.5,6.2.0或以上版本。
建议网上同好请自行或经服务SI尽快升级作业系统
微信扫一扫打赏
支付宝扫一扫打赏
