PT-2020-6610 · Fortinet · Fortigate+1
Publicado
2020-07-24
·
Atualizado
2022-07-12
·
CVE-2020-15936
CVSS v3.1
4.5
Média
| Vetor | AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do FortiOS anteriores à 6.4.4
Versões do FortiOS anteriores à 6.2.6
Versões do FortiOS anteriores à 6.0.12
Versões do FortiOS anteriores à 5.6.14
Versões do FortiGate 6.4.3 e anteriores
Versões do FortiGate 6.2.5 e anteriores
Versões do FortiGate 6.0.11 e anteriores
Versões do FortiGate 5.6.13 e anteriores
Descrição
O problema está relacionado à validação inadequada de entradas, permitindo que um invasor divulgue informações confidenciais por meio de pacotes TLS SNI Client Hello. Isso pode ser explorado pelo envio de uma mensagem especialmente criada, possibilitando o acesso não autorizado a informações protegidas.
Recomendações
Para versões do FortiOS anteriores à 6.4.4, atualize para a versão 6.4.4 ou posterior.
Para versões do FortiOS anteriores à 6.2.6, atualize para a versão 6.2.6 ou posterior.
Para versões do FortiOS anteriores à 6.0.12, atualize para a versão 6.0.12 ou posterior.
Para versões do FortiOS anteriores à 5.6.14, atualize para a versão 5.6.14 ou posterior.
Para versões do FortiGate 6.4.3 e anteriores, atualize para a versão 6.4.4 ou posterior.
Para versões do FortiGate 6.2.5 e anteriores, atualize para a versão 6.2.6 ou posterior.
Para versões do FortiGate 6.0.11 e anteriores, atualize para a versão 6.0.12 ou posterior.
Para versões do FortiGate 5.6.13 e anteriores, atualize para a versão 5.6.14 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos pacotes SNI Client Hello TLS até que um patch esteja disponível.
Correção
Information Disclosure
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortigate
Fortios