Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
- Élévation de privilèges
Systèmes affectés
- FortiAnalyzer versions 7.0.x antérieures à 7.0.10
- FortiAnalyzer versions 7.2.x antérieures à 7.2.4
- FortiAnalyzer versions 7.4.x antérieures à 7.4.2
- FortiAnalyzer-BigData versions 7.2.x antérieures à 7.2.6
- FortiAnalyzer-BigData versions 7.4.x antérieures à 7.4.0
- FortiClientEMS 6.0 toutes versions
- FortiClientEMS 6.2 toutes versions
- FortiClientEMS 6.4 toutes versions
- FortiClientEMS versions 7.0.x antérieures à 7.0.11
- FortiClientEMS versions 7.2.x antérieures à 7.2.3
- FortiManager versions 6.4.x antérieures à 6.4.14
- FortiManager versions 7.0.x. antérieures à 7.0.11
- FortiManager versions 7.2.x antérieures à 7.2.4
- FortiManager versions 7.4.x antérieures à 7.4.2
- FortiOS versions 6.2.x antérieures à 6.2.16
- FortiOS versions 6.4.x antérieures à 6.4.15
- FortiOS versions 7.0.x antérieures à 7.0.14
- FortiOS versions 7.2.x antérieures à 7.2.7
- FortiOS versions 7.4.x antérieures à 7.4.2
- FortiPortal versions 7.0.x antérieures à 7.0.7
- FortiPortal versions 7.2.x antérieures à 7.2.1
- FortiPortal versions antérieures à 7.0.0
- FortiProxy versions 2.0.x antérieures à 2.0.14
- FortiProxy versions 7.0.x antérieures à 7.0.15
- FortiProxy versions 7.2.x antérieures à 7.2.9
- FortiProxy versions 7.4.x antérieures à 7.4.3
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
S’il n’est pas possible de procéder à l’installation d’une version corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur à la section Workaround.
Documentation
- Bulletin de sécurité Fortinet FG-IR-23-103 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-23-103
- Bulletin de sécurité Fortinet FG-IR-23-304 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-23-304
- Bulletin de sécurité Fortinet FG-IR-23-328 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-23-328
- Bulletin de sécurité Fortinet FG-IR-23-390 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-23-390
- Bulletin de sécurité Fortinet FG-IR-23-424 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-23-424
- Bulletin de sécurité Fortinet FG-IR-24-007 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-24-007
- Bulletin de sécurité Fortinet FG-IR-24-013 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-24-013
- Bulletin de sécurité Fortinet FG-IR-24-016 du 12 mars 2024 https://www.fortiguard.com/psirt/FG-IR-24-016
- Référence CVE CVE-2023-36554 https://www.cve.org/CVERecord?id=CVE-2023-36554
- Référence CVE CVE-2023-41842 https://www.cve.org/CVERecord?id=CVE-2023-41842
- Référence CVE CVE-2023-42789 https://www.cve.org/CVERecord?id=CVE-2023-42789
- Référence CVE CVE-2023-42790 https://www.cve.org/CVERecord?id=CVE-2023-42790
- Référence CVE CVE-2023-46717 https://www.cve.org/CVERecord?id=CVE-2023-46717
- Référence CVE CVE-2023-47534 https://www.cve.org/CVERecord?id=CVE-2023-47534
- Référence CVE CVE-2023-48788 https://www.cve.org/CVERecord?id=CVE-2023-48788
- Référence CVE CVE-2024-21761 https://www.cve.org/CVERecord?id=CVE-2024-21761
- Référence CVE CVE-2024-23112 https://www.cve.org/CVERecord?id=CVE-2024-23112
