99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

FortiManager & FortiAnalyzer UAF遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-7-21

漏洞描述

2021年07月21日，監(jiān)測(cè)發(fā)現(xiàn)FortiNet官方發(fā)布了FortiManager & FortiAnalyzer UAF遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)通告。

FortiManager和FortiAnalyzer可以實(shí)現(xiàn)集中管理和日志，完成命令控制、網(wǎng)絡(luò)流量和攻擊的報(bào)表和分析等功能。UAF（User-After-Free）漏洞存在于FortiManager和FortiAnalyzer的fgfmsd守護(hù)進(jìn)程中，攻擊者能夠以root用戶身的份執(zhí)行未經(jīng)授權(quán)的代碼。

對(duì)此，建議廣大用戶及時(shí)將FortiManager & FortiAnalyzer升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號(hào)

CVE-2021-32589

漏洞危害

FortiManager和FortiAnalyzer的fgfmsd守護(hù)進(jìn)程中存在UAF（Use-After-Free）漏洞，遠(yuǎn)程的、未經(jīng)身份驗(yàn)證的攻擊者通過向目標(biāo)設(shè)備的fgfm端口發(fā)送專門設(shè)計(jì)的請(qǐng)求，能夠以root用戶身的份執(zhí)行未經(jīng)授權(quán)的代碼。

FGFM在FortiAnalyzer上默認(rèn)是禁用的，只在特定的硬件型號(hào)上啟用:

1000D, 1000E, 2000E, 3000D, 3000E, 3000F, 3500E, 3500F, 3700F, 3900E。

風(fēng)險(xiǎn)等級(jí)

受影響版本

修復(fù)方案

通用修補(bǔ)建議

根據(jù)影響版本中的信息，排查并升級(jí)到安全版本

臨時(shí)修補(bǔ)建議

使用以下命令禁用FortiAnalyzer Unit上的Fortimanager功能：

參考鏈接

https://www.fortiguard.com/psirt/FG-IR-21-067