Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с нарушением начальной границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных SSL-пакетов
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение поддержки HTTP/2 в профилях проверки SSL, используемых политиками прокси или политиками брандмауэра с режимом прокси;
Пример настроенного профиля:
config firewall ssl-ssh-profile
edit "custom-deep-inspection"
set supported-alpn http1-1
next
end
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/710924/http-2-support-in-proxy-mode-ssl-inspection
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-23-183
| Балл | 10 — критическая опасность |