Aufgrund von Fehlern in der Netzwerksoftware von Fortinet könnten Angreifer Admin-Zugänge und andere Passwörter erraten.
Konkret betroffen sind:
- FortiAnalyzer
- FortiAP-C
- FortiMail
- FortiManager
- FortiOS
- FortiPortal
- FortiToken Mobile (Android)
- FortiWLM
Am Gefährlichsten ist die Warnmeldung hinsichtlich FortiMail (CVE-2021-36166).
Sicherheitsupdates sind ab sofort verfügbar!
Liste nach Bedrohungsgrad absteigend sortiert:
- FortiMail – Administrative authentication bypass >zu Download & Infos
- FortiWLM – SQL Injection in AP report handlers >zu Download & Infos
- FortiWLM – command Injection in script handlers >zu Download & Infos
- FortiPortal – Insecure password generation >zu Download & Infos
- FortiAP-C – Command injection in CLI – >zu Download & Infos
- FortiMail – Unsafe handling of CGI environment parameters in web server framework >zu Download & Infos
- FortiWLM – Path traversal vulnerability >zu Download & Infos
- FortiToken Mobile (Android) – Deny request approved from External push notification >zu Download & Infos
- FortiAnalyzer, FortiManager – bypass of client-side password change policy enforcement >zu Download & Infos
- FortiManager — Password observed in cleartext in the config conflict file >zu Download & Infos
- FortiOS – Bypassing FortiGate security profiles via SNI in Client Hello >zu Download & Infos
Quellen: heise.de; fortiguard.com
