各位媒体朋友,
昨天晚上在微博和微信上都有一些信息指出发现了一个FortiOS的“后门”,覆盖版本为4.0-5.0.7。
公司在此做出官方声明:
近日被公开的这个安全问题已经被修复,并且在2014年7月作为Fortinet代码库质量和完整性确认约定的一部分中已经给出补丁。这不是一个“后门”漏洞问题,而是认证管理问题。这个问题已经被我们的产品安全团队在常规检查和测试中发现。
经过认真的分析和调查,我们可以确认这个问题不是由于任何组织,内部或外部产生的任何恶意行为导致的。
如果您正在使用:
- FortiOS v4.3.17 或任何FortiOS v4.3的更新版本 (2014年7月9日后发布的)
- FortiOS v5.0.8 或任何FortiOS v5.0的更新版本 (2014年7月28日后发布的)
- 任何版本的 FortiOS v5.2 或v5.4
您将不会受到这个问题的影响。
公司给回复下面的官方声明链接:
http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios
及我们官方发布的问题描述
http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability
强调:
1. 任何技术问题均可以致电:400-600-5255。
2、如果用户所运行的FortiOS版本为受影响版本(不在声明中的版本覆盖范围内),我们建议用户升级/更新FortiOS版本到不受影响的版本。
即FortiOS 4.3: 升级到 FortiOS 4.3.17 或更新版本
FortiOS 5.0: 升级到FortiOS 5.0.8 或更新版本
或者:
* Disable admin access via SSH on all interfaces, and use the Web GUI instead, or the console applet of the GUI for CLI access.
* 在所有接口上关闭SSH管理,只是用Web GUI替代,或者使用GUI上的console组件进行CLI接入。
* If SSH access is mandatory, in 5.0 one can restrict access to SSH to a minimal set of authorized IP addresses, via the Local In policies.
* 如果SSH访问必须要进行,在5.0版本可以强制SSH访问只允许授权的IP地址访问,通过策略进行配置。
