教育機構ANA通報平台

發佈編號

TACERT-ANA-2023092004095151

發佈時間

2023-09-20 16:01:51

事故類型

ANA-漏洞預警

發現時間

2023-09-20 16:01:51

影響等級

中

[主旨說明:]【漏洞預警】Fortinet 發布多個產品的安全公告，建議請管理者儘速評估更新！

[內容說明:]

轉發 中華資安國際 CHTSECURITY-200-202309-00000001

Fortinet 近日發布更新，以解決多個產品的安全性弱點。

FortiOS 和 FortiProxy GUI 中網頁生成期間輸入跨站點腳本 弱點，可能允許經過身份驗證的攻擊者通過一般訪客管理權限，設置觸發惡意 JavaScript 程式碼。

FortiWeb 中的保護機制異常，弱點可能允許攻擊者繞過 XSS 和 CSRF 保護。

HiNet SOC 建議管理者儘速評估更新，以降低受駭風險。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

煩請貴單位協助公告或轉發

[影響平台:]

l FortiProxy 版本 7.2.0 至 7.2.4

l FortiProxy 版本 7.0.0 至 7.0.10

l FortiOS 版本 7.2.0 至 7.2.4

l FortiOS 版本 7.0.0 至 7.0.11

l FortiOS 版本 6.4.0 至 6.4.12

l FortiOS 版本 6.2.0至6.2.14

l FortiWeb 版本 7.2.0 至 7.2.1

l FortiWeb 版本 7.0.0 至 7.0.6

l FortiWeb 6.4 所有版本

l FortiWeb 6.3 所有版本

[建議措施:]

請參考 Fortinet官方網站的說明並更新至建議版本：

(1)FortiProxy 版本 7.2.5 (含)之後版本

(2)FortiProxy 版本 7.0.11 (含)之後版本

(3)FortiOS 版本 7.4.0 (含)之後版本

(4)FortiOS 版本 7.2.5 (含)之後版本

(5)FortiOS 版本7.0.12 (含)之後版本

(6)FortiOS 版本 6.4.13 (含)之後版本

(7)FortiOS 版本 6.2.15 (含)之後版本

(8)FortiWeb 版本

[參考資料:]
1. https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products
2. https://www.fortiguard.com/psirt/FG-IR-23-106
3. https://www.fortiguard.com/psirt/FG-IR-23-068

(此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。

教育機構資安通報應變小組
網址：https://info.cert.tanet.edu.tw/
專線電話：07-5250211
網路電話：98400000
E-Mail：service@cert.tanet.edu.tw