Kritische Sicherheitslücke in FortiOS, FortiManager & FortiAnalyzer

Fortinet warnt vor einer Sicherheitslücke in mehreren Ihrer Produkte. Aufgrund eines Softwarefehlers werden Zertifikate nicht ausreichend auf Ihre Gültigkeit überprüft. Laut Fortinet lässt sich der Fehler ausnutzen, um unter bestimmten Umständen die komplette Kontrolle über das betroffene Gerät zu erhalten.

Betroffen sind:

• FortiOS 6.2.0
• FortiOS 6.0.5 und älter
• FortiOS 5.6.9 und älter
• FortiOS 5.4.11 und älter
• FortiOS 5.2.13 und älter
• FortiManager 6.2.0 
• FortiManager 6.0.5 und älter
• FortiManager 5.6.8 und älter
• FortiManager 5.4.6 und älter
• FortiAnalyzer 6.2.0 
• FortiAnalyzer 6.0.5 und älter
• FortiAnalyzer 5.6.8 und älter
• FortiAnalyzer 5.4.6 und älter

Fortinet stuft das Problem selber als kritisch ein und rät dringend zu einem sofortigen Update der betroffenen Produkte. Fortinet hat zudem ein Update für die IPS Signaturen veröffentlicht, welche das Angriffsrisiko etwas mindern sollen. Dieses wird von den FortiGates mit entsprechenden Lizenzen automatisch heruntergeladen. Dennoch sollte auf jeden Fall ein Update auf die nicht betroffenen Versionen durchgeführt werden.

Die aktualisierten Versionen mit der korrigierten Zertifikatsprüfung lauten:

• FortiOS 6.2.1
• FortiOS 6.0.6
• FortiOS 5.6.10
• FortiOS 5.4.12
• FortiOS 5.2.14
• FortiManager 6.2.1
• FortiManager 6.0.6
• FortiManager 5.6.9
• FortiManager 5.4.7
• FortiAnalyzer 6.2.1
• FortiAnalyzer 6.0.6
• FortiAnalyzer 5.6.9
• FortiAnalyzer 5.4.7

Die aktualisierten Versionen können Sie aus dem Support-Portal von Fortinet herunterladen und auf dem betreffenden Gerät umgehend installieren.