2018-1750: FortiOS: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2018-08-29 17:04)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
FortiNet

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer unter Umständen die Durchführung eines sogenannten Bleichenbacher-Angriffs gegen die TLS-Implementierung, indem er Unterschiede der TLS-Fehlermeldungen für gültiges und ungültiges PKCS#1-Padding (Auffüllen) ausnutzt, um verschlüsselte Nachrichten im Klartext auszuspähen oder Man-in-the-Middle (MitM)-Angriffe gegen die RSA PKCS #1 Version 1.5 Verschlüsselung durchzuführen, wodurch er weitere Informationen ausspähen, manipulieren bzw. zurückhalten kann. Diese Art von Angriff ist auch als 'ROBOT Attack' bekannt.

Für den FortiOS 6.0 Zweig steht die Version 6.0.2, für den 5.4 Zweig steht die Version 5.4.10 bereit. Das FortiGuard PSIRT weist darauf hin, dass die FortiOS 5.2 und 5.6 Zweige sowie die FortiNet-Produkte Switch, AP, Analyzer, Mail, Manager und Web nicht von den Schwachstellen betroffen sind.

Schwachstellen:

CVE-2018-9192

Schwachstelle in FortiOS ermöglicht Ausspähen von Informationen

CVE-2018-9194

Schwachstelle in FortiOS ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.