Forti ha publicado el 2 de agosto 3 avisos de seguridad que afectan a varios de sus productos:

• FortiADC: cambio de contraseña no verificado en la GUI
• FortiOS: fuga de información entre VDOM
• FortiOS, FortiProxy, FortiADC y FortiMail: vulnerabilidad de format string en el intérprete de línea de comandos

Estas son las versiones afectadas por las 3 vulnerabilidades respectivamente:

• Versiones de FortiADC: 6.2.0 a 6.2.3, 6.1.0 a 6.1.6, 6.0.0 a 6.0.4, 5.4.0 a 5.4.5, 5.3.0 a 5.3.7, 5.2 .0 a 5.2.8, 5.1.0 a 5.1.7 y 5.0.0 a 5.0.4.
• Versiones de FortiOS: 7.0.0 a 7.0.5, 6.4.0 a 6.4.8 y 6.2.0 a 6.2.11.
• Versiones de FortiADC: 6.0.0 a 6.0.4, 6.1.0 a 6.1.5 y 6.2.0 a 6.2.1.
• Versiones de FortiProxy: 1.0.0 a 1.0.7, 1.1.0 a 1.1.6, 1.2.0 a 1.2.13, 2.0.0 a 2.0.7 y 7.0.0 a 7.0.1.
• Versiones de FortiOS: 6.0.0 a 6.0.14, 6.2.0 a 6.2.10, 6.4.0 a 6.4.8 y 7.0.0 a 7.0.2
• Versiones de FortiMail: 6.4.0 a 6.4.5 y 7.0.0 a 7.0.2.

Ya existen actualizaciones que corrigen estos fallos de seguridad. Actualizar a las siguientes versiones respectivamente:

• FortiADC: versión 7.0.0 o superior y versión 6.2.4 o superior.
• FortiGate: versión 7.2.0 o superior, versión 7.0.6 o superior y versión 6.4.9 o superior.
• FortiOS: 7.0.4 o superior, 6.4.9 o superior, 6.2.11 o superior y 6.0.15 o superior.
• FortiProxy: 7.0.2 o superior y 2.0.8 o superior.
* No se planean correcciones para Fortiproxy 1.2, 1.1 y 1.0
• FortiADC: 7.0.1 o superior y 6.2.3 o superior.
• FortiMail: 6.4.6 o superior, 7.0.3 o superior y 7.2.0 o superior.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es