Origine: bjCSIRT
Numéro: 2022/ALERTE/045
Date de l’alerte: 08/12/2022
APERÇU :
Une vulnérabilité classée critique a été trouvée dans FortiOS et FortiProxy.
DESCRIPTION :
Libellé CVE-2022-35843, cette vulnérabilité est identifié à un contournement d’authentification dans le composant de connexion « FortiOS SSH » permettant à un attaquant distant et non authentifié de se connecter à l’appareil via l’envoi d’une réponse « Access-Challenge » spécialement conçue à partir du serveur Radius.
La liste complète des versions concernées se trouve dans le champ SYSTEMES AFFECTÉS.
IMPACT :
- Atteinte à la confidentialité ;
- Atteinte à la disponibilité ;
- Atteinte à l’intégrité des données.
SYSTEMES AFFECTÉS :
- FortiOS version 7.2.0 à 7.2.1 ;
- FortiOS versions 7.0.0 à 7.0.7 ;
- FortiOS versions 6.4.0 à 6.4.9 ;
- FortiOS version 6.2 ;
- FortiOS version 6.0 ;
- FortiProxy version 7.0.0 à 7.0.6 ;
- FortiProxy version 2.0.0 à 2.0.10 ;
- FortiProxy version 1.2.0.
MESURES À PRENDRE :
- Mettre à jour FortiOS aux versions 2.2, 7.0.8 et 6.4.10 ;
- Mettre à jour FortiProxy aux versions 7.0.7 et 2.0.11.
REFERENCES :
