用户投稿安全研究人员发现Fortinet防火墙产品FortiGate及端点安全产品Forticlient,因程式撰写问题导致加密金钥曝露,可能让骇客得以拦截用户资料,或是操控、弱化FortiGuard云端服务防护能力,Fortinet目前已释出修补程式
IThome原文引用
Fortinet之FortiGuard官网讯息
FortiGuard服务通信协议中的硬编码加密密钥
摘要
在FortiGuard服务通信协议中使用硬编码的加密密钥可以使中间人知道密钥并进行窃听和修改信息(FortiOS 5.6中的URL / SPAM服务以及FortiOS 6.0中的URL / SPAM / AV服务。 ;通过解密这些消息,从Fortiguard发送和接收的FortiClient中的URL等级服务器。
影响力
信息披露
受影响的产品
FortiOS 6.0.6及以下版本
FortiClientWindows 6.0.6及以下版本
FortiClientMac 6.2.1及以下版本
解决方案
升级到FortiOS 6.0.7或6.2.0
升级到FortiClient Windows 6.2.0
升级到FortiClientMac 6.2.2
致谢
Fortinet非常感谢SEC谘询漏洞实验室StefanViehböck在负责任的披露下报告了此情况。
微信扫一扫打赏
支付宝扫一扫打赏
