Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Fortinet FortiOS
(4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.1.1, 4.1.10, 4.1.11, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.2.0, 4.2.1, 4.2.10, 4.2.11, 4.2.12, 4.2.13, 4.2.14, 4.2.15, 4.2.16, 4.2.2, 4.2.3, 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8, 4.2.9, 4.3.0, 4.3.1, 4.3.10, 4.3.11, 4.3.12, 4.3.13, 4.3.14, 4.3.15, 4.3.16, 4.3.17, 4.3.18, 4.3.19, 4.3.2, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7, 4.3.8, 4.3.9, 5.0.0, 5.0.1, 5.0.10, 5.0.11, 5.0.12, 5.0.13, 5.0.14, 5.0.2, 5.0.3, 5.0.4, 5.0.5, 5.0.6, 5.0.7, 5.0.8, 5.0.9, 5.2.0, 5.2.1, 5.2.10, 5.2.11, 5.2.12, 5.2.13, 5.2.14, 5.2.15, 5.2.2, 5.2.3, 5.2.4, 5.2.5, 5.2.6, 5.2.7, 5.2.8, 5.2.9, 5.4.0, 5.4.1, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.6.0, 5.6.1, 5.6.10, 5.6.11, 5.6.2, 5.6.3, 5.6.4, 5.6.5, 5.6.6, 5.6.7, 5.6.8, 5.6.9, 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7)
Описание
Использование жестко закодированного криптографического ключа в протоколе взаимодействия служб FortiGuard в FortiClient и FortiOS позволяет злоумышленнику, действующему по принципу «человек посередине» и знающему ключ, перехватывать и изменять информацию (относящуюся к службам URL/SPAM/AV в FortiOS и рейтингам URL в FortiClient), отправляемую и принимаемую серверами Fortiguard, путем расшифровки передаваемых сообщений.
Как исправить
Используйте рекомендации производителя:
https://www.fortiguard.com/psirt/FG-IR-18-100
https://www.fortiguard.com/psirt/FG-IR-18-100
Ссылки
Источник: CVE
Наименование: CVE-2018-9195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9195
Наименование: CVE-2018-9195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9195