S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 décembre 2021
N° CERTFR-2021-AVI-927
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Fortinet

Gestion du document

Référence CERTFR-2021-AVI-927
Titre Multiples vulnérabilités dans les produits Fortinet
Date de la première version08 décembre 2021
Date de la dernière version08 décembre 2021
Source(s) Bulletin de sécurité Fortinet FG-IR-20-127 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-20-131 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-20-158 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-20-222 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-004 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-049 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-051 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-075 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-111 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-114 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-115 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-118 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-120 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-122 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-123 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-129 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-130 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-131 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-133 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-134 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-138 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-139 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-140 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-152 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-156 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-157 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-160 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-167 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-168 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-173 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-178 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-181 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-182 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-188 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-192 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-200 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-201 du 8 décembre 2021
Bulletin de sécurité Fortinet FG-IR-21-212 du 8 décembre 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • FortiADC version 6.2.x antérieures à 6.2.1
  • FortiADC versions 6.1.x antérieures à 6.1.4
  • FortiAuthenticator versions antérieures à 6.4.1
  • FortiClient pour Linux, Mac et Windows versions 6.4.x antérieures à 6.4.7
  • FortiClient pour Linux, Mac et Windows versions 7.0.x antérieures à 7.0.2
  • FortiClientEMS versions 6.4.x antérieures à 6.4.7
  • FortiClientEMS versions 7.0.x antérieures à 7.0.2
  • FortiGate versions 6.2.x antérieures à 6.2.10
  • FortiGate versions 6.4.x antérieures à 6.4.7
  • FortiGate versions 7.0.x antérieures à 7.0.2
  • FortiNAC versions 8.8.x antérieures à 8.8.10
  • FortiNAC versions 9.1.x antérieures à 9.1.4
  • FortiNAC versions 9.2.x antérieures à 9.2.1
  • FortiOS versions 5.6.x antérieures à 5.6.14
  • FortiOS versions 6.0.x antérieures à 6.0.14
  • FortiOS versions 6.2.x antérieures à 6.2.10
  • FortiOS versions 6.4.x antérieures à 6.4.8
  • FortiOS versions 7.0.x antérieures à 7.0.3
  • FortiOS-6K7K versions 6.2.x antérieures à 6.2.8
  • FortiOS-6K7K versions 6.4.x antérieures à 6.4.3
  • FortiProxy versions 1.x antérieures à 1.2.12
  • FortiProxy versions 2.x antérieures à 2.0.4
  • FortiProxy versions 7.x antérieures à 7.0.1
  • FortiSandbox versions 3.x antérieures à 3.2.3
  • FortiSandbox versions 4.x antérieures à 4.0.1
  • FortiWeb versions 6.2.x antérieures à 6.2.6
  • FortiWeb versions 6.3.x antérieures à 6.3.16
  • FortiWeb versions 6.4.x antérieures à 6.4.2
  • FortiWLC versions antérieures à 8.6.2
  • Meru AP versions antérieures à 8.6.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 décembre 2021
    Version initiale