关键信息 漏洞描述 标题: FortiOS - Improper authentication in fgfmd 描述: 一个未经授权的攻击者可以注入(但不能接收)在FortiManager和目标设备之间建立的隧道中的数据包的漏洞。 影响范围 受影响版本: - FortiManager 7.4: 7.4.0 至 7.4.2 - FortiManager 7.2: 7.2.0 至 7.2.4 - FortiManager 7.0: 7.0.0 至 7.0.11 - FortiManager 6.4: 6.4.0 至 6.4.14 - FortiOS 7.6: 不受影响 - FortiOS 7.4: 7.4.0 至 7.4.3 - FortiOS 7.2: 7.2.0 至 7.2.7 - FortiOS 7.0: 7.0.0 至 7.0.14 - FortiOS 6.4: 所有版本 - FortiOS 6.2: 所有版本 - FortiOS 6.0: 所有版本 - FortiPAM 1.3: 不受影响 - FortiPAM 1.2: 1.2 所有版本 - FortiPAM 1.1: 1.1 所有版本 - FortiPAM 1.0: 1.0 所有版本 - FortiPortal 6.0: 6.0.0 至 6.0.14 - FortiPortal 5.3: 所有版本 - FortiProxy 7.4: 7.4.0 至 7.4.2 - FortiProxy 7.2: 7.2.0 至 7.2.9 - FortiProxy 7.0: 7.0.0 至 7.0.16 - FortiProxy 2.0: 所有版本 - FortiProxy 1.2: 1.2 所有版本 - FortiProxy 1.1: 1.1 所有版本 - FortiProxy 1.0: 1.0 所有版本 - FortiSwitchManager 7.2: 7.2.0 至 7.2.3 - FortiSwitchManager 7.0: 7.0.0 至 7.0.3 解决方案 建议升级: - FortiManager: 7.4.3 或更高版本 - FortiManager: 7.2.5 或更高版本 - FortiManager: 7.0.12 或更高版本 - FortiManager: 6.4.15 或更高版本 - FortiOS: 7.4.4 或更高版本 - FortiOS: 7.2.8 或更高版本 - FortiOS: 7.0.15 或更高版本 - FortiOS: 6.4 所有版本 - FortiOS: 6.2 所有版本 - FortiOS: 6.0 所有版本 - FortiPAM: 1.3 或更高版本 - FortiPAM: 1.2 或更高版本 - FortiPAM: 1.1 或更高版本 - FortiPAM: 1.0 或更高版本 - FortiPortal: 6.0.15 或更高版本 - FortiProxy: 7.4.4 或更高版本 - FortiProxy: 7.2.10 或更高版本 - FortiProxy: 7.0.17 或更高版本 - FortiProxy: 2.0 或更高版本 - FortiProxy: 1.2 或更高版本 - FortiProxy: 1.1 或更高版本 - FortiProxy: 1.0 或更高版本 - FortiSwitchManager: 7.2.4 或更高版本 - FortiSwitchManager: 7.0.4 或更高版本 认证 内部发现和报告:由Fortinet Product Security团队的Gwendal Guégniaud发现和报告。 时间线 2024-11-12: 初始发布 2024-11-15: 添加FortiProxy版本7.0.17修复 总结 这个漏洞允许未经授权的攻击者在FortiManager和目标设备之间建立的隧道中注入数据包,但不能接收。受影响的设备和版本广泛,建议受影响的用户尽快升级到相应的版本以修复此漏洞。