2019-2190: FortiOS: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-10-21 15:41)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
FortiNet

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer, der den TLS-Client von FortiOS zwischen Statusupdates des Zufallsdatengenerators zur Generierung vieler Ausgabedaten bringen kann, kann den privaten Schlüssel des Clients mit Hilfe von 'Flush-Reload'-Seitenkanalangriffen wiederherstellen.

Der Hersteller informiert über die Schwachstelle in der Implementierung eines Zufallsdatengenerators von FortiOS und stellt FortiOS 6.2.2 als Sicherheitsupdate für Geräte mit Intel-CPUs bereit. Beginnend mit dieser Version wird die Anweisung 'rdseed' als Hardware-Entropiequelle für den DRBG (Deterministic Random Bit Generator) verwendet.

Darüber hinaus listet der Hersteller Hardware-Token und Chips auf, welche in Verbindung mit verschiedenen FortiOS Versionen nicht von der Schwachstelle betroffen sind. Genauere Informationen können dem Sicherheitshinweis des Herstellers entnommen werden.

Virtuelle Instanzen von FortiOS sind ebenfalls von der Schwachstelle betroffen. Der Hersteller verweist auch hier auf die Instruktion 'rdseed' zur Mitigation der Schwachstelle.

Schwachstellen:

CVE-2019-15703

Schwachstelle in FortiOS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.