首页 > 清静研究 > 清静转达 > 清静通告

Fortinet清静产品硬编码加密密钥误差清静通告

宣布时间 2019-11-27

误差编号和级别

CVE编号：CVE-2018-9195，，，，，，，危险级别：中危，，，，，，，CVSS分值：5.9

影响版本

Fortinet FortiOS 6.0.6及之前版本

FortiClient 6.0.6及之前版本（Windows ）和6.2.1及之前版本（Mac）

误差概述

Fortinet FortiOS和Fortinet FortiClient都是美国飞塔（Fortinet）公司的产品。。。。。。Fortinet FortiOS是一套专用于FortiGate网络清静平台上的清静操作系统。。。。。。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种清静功效。。。。。。Fortinet FortiClient是一套移动终端清静解决计划。。。。。。该计划与FortiGate防火墙装备毗连时可提供IPsec和SSL加密、广域网优化、终端合规和双因子认证等功效。。。。。。

该误差源于FortiGuard效劳通讯协议使用了硬编码的加密密钥。。。。。。受影响的产品包括FortiGate防火墙以及Mac和Windows版本的FortiClient终端�；；；；；と砑�。。。。。。这三种产品使用弱加密（XOR）并且是硬编码的加密密钥与种种FortiGate云效劳举行通讯。。。。。。该密钥用于加密FortiGuard Web过滤功效、FortiGuard反垃圾邮件功效和FortiGuard AntiVirus功效的用户流量。。。。。。攻击者可使用此误差嗅探用户的流量，，，，，，，跟踪他们的浏览纪录或电子邮件数据。。。。。。

误差验证

暂无EXP/POC。。。。。。

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，，，补丁获取链接：

https://fortiguard.com/psirt/FG-IR-18-100。。。。。。

参考链接

https://www.zdnet.com/article/some-fortinet-products-shipped-with-hardcoded-encryption-keys/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Fortinet清静产品硬编码加密密钥误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线