Multiples vulnérabilités dans les produits Fortinet

Risques

Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

FortiAnalyzer versions antérieures à 7.0.4
FortiManager versions antérieures à 7.0.4
FortiOS versions 6.0.x antérieures à 6.0.15 (ces versions sont affectées par la vulnérabilité CVE-2022-29055, il est préférable de migrer vers la version 6.2.11)
FortiOS versions 6.2.x antérieures à 6.2.11
FortiOS versions 6.4.x antérieures à 6.4.10
FortiOS versions 7.0.x antérieures à 7.0.7
FortiOS versions 7.2.x antérieures à 7.2.2
FortiProxy versions 7.0.x antérieures à 7.0.7
FortiProxy versions 7.2.x antérieures à 7.2.1
FortiProxy versions antérieures à 2.0.10
FortiSwitchManager versions 7.x antérieures à 7.2.1
FortiTester versions 4.x antérieures à 4.2.1
FortiTester versions 7.x antérieures à 7.1.1
FortiTester versions antérieures à 3.9.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Fortinet FG-IR-21-242 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-21-242

Bulletin de sécurité Fortinet FG-IR-22-026 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-026

Bulletin de sécurité Fortinet FG-IR-22-086 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-086

Bulletin de sécurité Fortinet FG-IR-22-237 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-237

Bulletin de sécurité Fortinet FG-IR-22-244 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-244

Bulletin de sécurité Fortinet FG-IR-22-247 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-247

Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022

https://www.fortiguard.com/psirt/FG-IR-22-377

Référence CVE CVE-2021-44171

https://www.cve.org/CVERecord?id=CVE-2021-44171

Référence CVE CVE-2022-26121

https://www.cve.org/CVERecord?id=CVE-2022-26121

Référence CVE CVE-2022-29055

https://www.cve.org/CVERecord?id=CVE-2022-29055

Référence CVE CVE-2022-33873

https://www.cve.org/CVERecord?id=CVE-2022-33873

Référence CVE CVE-2022-35844

https://www.cve.org/CVERecord?id=CVE-2022-35844

Référence CVE CVE-2022-35846

https://www.cve.org/CVERecord?id=CVE-2022-35846

Référence CVE CVE-2022-40684

https://www.cve.org/CVERecord?id=CVE-2022-40684

Référence	CERTFR-2022-AVI-894
Titre	Multiples vulnérabilités dans les produits Fortinet
Date de la première version	11 octobre 2022
Date de la dernière version	11 octobre 2022
Source(s)	Bulletin de sécurité Fortinet FG-IR-21-242 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-026 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-086 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-237 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-244 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-247 du 10 octobre 2022 Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Fortinet

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document