CERTFR-2022-AVI-973 : Multiples vulnérabilités dans les produits Fortinet (02 novembre 2022)

Risque(s)

• Exécution de code arbitraire
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• AV engine versions 6.2.x antérieures à 6.2.169
• AV engine versions 6.4.x antérieures à 6.4.275
• FortiMail versions 6.4.x antérieures à 6.4.7
• FortiMail versions 7.2.x antérieures à 7.2.1
• FortiMail versions 7.0.x antérieures à 7.0.4
• FortiOS versions 7.0.x antérieures à 7.0.8
• FortiOS versions 7.2.x antérieures à 7.2.2
• FortiOS versions 6.4.x antérieures à 6.4.10
• FortiADC versions 7.0.x antérieures à 7.0.3
• FortiADC versions 6.2.x antérieures à 6.2.4
• FortiADC versions 7.1.x antérieures à 7.1.1
• FortiClientMac versions 7.0.x antérieures à 7.0.6
• FortiDeceptor versions 4.2.x antérieures à 4.2.1
• FortiDeceptor versions 4.1.x antérieures à 4.1.2
• FortiDeceptor versions 4.0.x antérieures à 4.0.3
• FortiEDR CollectorWindows versions 5.0.x.x antérieures à 5.0.3.912
• FortiEDR CollectorWindows versions 5.2.x.x antérieures à 5.2.0.2288
• FortiAnalyzer versions 7.0.x antérieures à 7.0.5
• FortiAnalyzer versions 6.4.x antérieures à 6.4.9
• FortiManager versions 7.0.x antérieures à 7.0.5
• FortiManager versions 6.4.x antérieures à 6.4.9
• FortiSIEM versions 6.5.x antérieures à 6.5.0
• FortiSOAR versions 7.2.x antérieures à 7.2.3
• FortiTester versions 7.2.x antérieures à 7.2.0
• FortiTester versions 7.1.x antérieures à 7.1.1
• FortiTester versions 4.2.x antérieures à 4.2.1
• FortiTester versions 3.9.x antérieures à 3.9.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Fortinet FG-IR-22-074 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-074
• Bulletin de sécurité Fortinet FG-IR-22-232 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-232
• Bulletin de sécurité Fortinet FG-IR-22-314 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-314
• Bulletin de sécurité Fortinet FG-IR-22-234 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-234
• Bulletin de sécurité Fortinet FG-IR-22-246 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-246
• Bulletin de sécurité Fortinet FG-IR-22-331 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-331
• Bulletin de sécurité Fortinet FG-IR-22-218 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-218
• Bulletin de sécurité Fortinet FG-IR-22-066 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-066
• Bulletin de sécurité Fortinet FG-IR-21-228 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-21-228
• Bulletin de sécurité Fortinet FG-IR-22-228 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-228
• Bulletin de sécurité Fortinet FG-IR-22-174 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-174
• Bulletin de sécurité Fortinet FG-IR-22-223 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-223
• Bulletin de sécurité Fortinet FG-IR-22-064 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-064
• Bulletin de sécurité Fortinet FG-IR-22-216 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-216
• Bulletin de sécurité Fortinet FG-IR-22-070 du 01 novembre 2022
  https://www.fortiguard.com/psirt/FG-IR-22-070
• Référence CVE CVE-2022-26122
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26122
• Référence CVE CVE-2022-38374
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38374
• Référence CVE CVE-2022-35851
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35851
• Référence CVE CVE-2022-38381
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38381
• Référence CVE CVE-2022-33878
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33878
• Référence CVE CVE-2022-38373
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38373
• Référence CVE CVE-2022-39949
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39949
• Référence CVE CVE-2022-39945
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39945
• Référence CVE CVE-2022-39950
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39950
• Référence CVE CVE-2022-30307
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30307
• Référence CVE CVE-2022-38380
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38380
• Référence CVE CVE-2022-35842
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35842
• Référence CVE CVE-2022-26119
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26119
• Référence CVE CVE-2022-42473
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42473
• Référence CVE CVE-2022-33870
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33870