요약
FortiManager, FortiAnalyzer 및 FortiADC 관리 인터페이스의 OS 명령('OS 명령 주입') 취약성[CWE-78]에 사용된 특수 요소의 부적절한 무력화로 인해 시스템 설정에 대해 최소한 읽기 권한이 있는 인증된 공격자가 시스템 설정에서 임의 명령을 실행할 수 있습니다. wordexp 함수의 안전하지 않은 사용으로 인해 기본 쉘이 손상되었습니다.
| 버전 | 영향받는 버전 | 해결책 |
|---|---|---|
| 포티애널라이저 7.4 | 영향을받지 않았다 | 7.4.0 이상으로 업그레이드 |
| 포티애널라이저 7.2 | 7.2.0~7.2.2 | 7.2.3 이상으로 업그레이드 |
| 포티애널라이저 7.0 | 7.0.0~7.0.7 | 7.0.8 이상으로 업그레이드 |
| 포티애널라이저 6.4 | 6.4.0~6.4.11 | 6.4.12 이상으로 업그레이드 |
| 포티애널라이저 6.2 | 6.2 모든 버전 | 고정 릴리스로 마이그레이션 |
| 포티애널라이저 6.0 | 6.0 모든 버전 | 고정 릴리스로 마이그레이션 |
| 포티매니저 7.4 | 영향을받지 않았다 | 7.4.0 이상으로 업그레이드 |
| 포티매니저 7.2 | 7.2.0~7.2.2 | 7.2.3 이상으로 업그레이드 |
| 포티매니저 7.0 | 7.0.0~7.0.7 | 7.0.8 이상으로 업그레이드 |
| 포티매니저 6.4 | 6.4.0~6.4.11 | 6.4.12 이상으로 업그레이드 |
| 포티매니저 6.2 | 6.2 모든 버전 | 고정 릴리스로 마이그레이션 |
| 포티매니저 6.0 | 6.0 모든 버전 | 고정 릴리스로 마이그레이션 |
| FortiADC 7.1 | 7.1.0 | 7.1.1 이상으로 업그레이드 |
| FortiADC 7.0 | 7.0.0~7.0.3 | 7.0.4 이상으로 업그레이드 |
| FortiADC 6.2 | 6.2 모든 버전 | 고정 릴리스로 마이그레이션 |
| FortiADC 6.1 | 6.1 모든 버전 | 고정 릴리스로 마이그레이션 |
| FortiADC 6.0 | 6.0 모든 버전 | 고정 릴리스로 마이그레이션 |
승인
Fortinet 제품 보안 팀의 Wilfried Djettchou가 내부적으로 발견하고 보고했습니다.타임라인
2023-09-15: 최초 출판참고