개요
Fortinet 제품군에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-23110
- FortiOS 버전 : 7.4.0(포함) ~ 7.4.2(포함)
- FortiOS 버전 : 7.2.0(포함) ~ 7.2.6(포함)
- FortiOS 버전 : 7.0.0(포함) ~ 7.0.13(포함)
- FortiOS 버전 : 6.4.0(포함) ~ 6.4.14(포함)
- FortiOS 버전 : 6.2.0(포함) ~ 6.2.15(포함)
- FortiOS 버전 : 6.0의 모든 버전
CVE-2024-26010
- FortiOS 버전 : 7.4.0(포함) ~ 7.4.3(포함)
- FortiOS 버전 : 7.2.0(포함) ~ 7.2.7(포함)
- FortiOS 버전 : 7.0.0(포함) ~ 7.0.14(포함)
- FortiOS 버전 : 6.4의 모든 버전
- FortiOS 버전 : 6.2의 모든 버전
- FortiOS 버전 : 6.0의 모든 버전
- FortiPAM 버전 : 1.2의 모든 버전
- FortiPAM 버전 : 1.1의 모든 버전
- FortiPAM 버전 : 1.0의 모든 버전
- FortiProxy 버전 : 7.4.0(포함) ~ 7.4.3(포함)
- FortiProxy 버전 : 7.2.0(포함) ~ 7.2.9(포함)
- FortiProxy 버전 : 2.0의 모든 버전
- FortiProxy 버전 : 1.2의 모든 버전
- FortiProxy 버전 : 1.1의 모든 버전
- FortiProxy 버전 : 1.0의 모든 버전
- FortiSwitchManager 버전 : 7.2.0(포함) ~ 7.2.3(포함)
- FortiSwitchManager 버전 : 7.0.1(포함) ~ 7.0.3(포함)
CVE-2024-23111
- FortiOS 버전 : 7.4.0(포함) ~ 7.4.3(포함)
- FortiOS 버전 : 7.2.0(포함) ~ 7.2.7(포함)
- FortiOS 버전 : 7.0.0(포함) ~ 7.0.13(포함)
- FortiOS 버전 : 6.4의 모든 버전
- FortiProxy 버전 : 7.4.0(포함) ~ 7.4.2(포함)
- FortiProxy 버전 : 7.2.0(포함) ~ 7.2.8(포함)
- FortiProxy 버전 : 7.0.0(포함) ~ 7.0.14(포함)
- FortiProxy 버전 : 2.0의 모든 버전
CVE-2023-46720
- FortiOS 버전 : 7.4.0(포함) ~ 7.4.1(포함)
- FortiOS 버전 : 7.2.0(포함) ~ 7.2.7(포함)
- FortiOS 버전 : 7.0.0(포함) ~ 7.0.12(포함)
- FortiOS 버전 : 6.4.6(포함) ~ 6.4.15(포함)
- FortiOS 버전 : 6.2.9(포함) ~ 6.2.16(포함)
- FortiOS 버전 : 6.0.13(포함) ~ 6.0.18(포함)
CVE-2024-21754
- FortiOS 버전 : 7.4.0(포함) ~ 7.4.3(포함)
- FortiOS 버전 : 7.2의 모든 버전
- FortiOS 버전 : 7.0의 모든 버전
- FortiOS 버전 : 6.4의 모든 버전
- FortiProxy 버전 : 7.4.0(포함) ~ 7.4.2(포함)
- FortiProxy 버전 : 7.2의 모든 버전
- FortiProxy 버전 : 7.0의 모든 버전
- FortiProxy 버전 : 2.0의 모든 버전
해결된 취약점
FortiOS에서 발생하는 diag npu 명령의 다중 버퍼 오버플로우 취약점 (CVE-2024-23110) [1][2]
FortiOS, FortiProxy, FortiPAM 및 FortiSwitchManager에서 발생하는 스택 버퍼 오버플로우 취약점(CVE-2024-26010) [3][4]
FortiOS 및 FortiProxy에서 발생하는 XSS 취약점(CVE-2024-23111) [5][6]
FortiOS에서 발생하는 스택 버퍼 오버플로우 취약점(CVE-2023-46720) [7][8]
FortiOS 및 FortiProxy에서 불충분한 해시 암호 사용으로 인해 백업 파일 해독 가능한 부적절한 접근 제어 취약점(CVE-2024-21754) [9][10]
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-23110
- FortiOS 버전 : 7.4.x 버전 중 7.4.3 이상의 버전
- FortiOS 버전 : 7.2.x 버전 중 7.2.7 이상의 버전
- FortiOS 버전 : 7.0.x 버전 중 7.0.14 이상의 버전
- FortiOS 버전 : 6.4.x 버전 중 6.4.15 이상의 버전
- FortiOS 버전 : 6.2.x 버전 중 6.2.16 이상의 버전
CVE-2024-26010
- FortiOS 버전 : 7.4.x 버전 중 7.4.4 이상의 버전
- FortiOS 버전 : 7.2.x 버전 중 7.2.8 이상의 버전
- FortiOS 버전 : 7.0.x 버전 중 7.0.15 이상의 버전
- FortiPAM 버전 : 1.3 버전
- FortiProxy 버전 : 7.4.x 버전 중 7.4.4 이상의 버전
- FortiProxy 버전 : 7.2.x 버전 중 7.2.10 이상의 버전
- FortiProxy 버전 : 7.0.x 버전 중 7.0.17 이상의 버전
- FortiSwitchManager 버전 : 7.2.x 버전 중 7.2.4 이상의 버전
- FortiSwitchManager 버전 : 7.0.x 버전 중 7.0.4 이상의 버전
CVE-2024-23111
- FortiOS 버전 : 7.4.x 버전 중 7.4.4 이상의 버전
- FortiOS 버전 : 7.2.x 버전 중 7.2.8 이상의 버전
- FortiOS 버전 : 7.0.x 버전 중 7.0.14 이상의 버전
- FortiProxy 버전 : 7.4.x 버전 중 7.4.3 이상의 버전
- FortiProxy 버전 : 7.2.x 버전 중 7.2.9 이상의 버전
- FortiProxy 버전 : 7.0.x 버전 중 7.0.15 이상의 버전
CVE-2023-46720
- FortiOS 버전 : 7.4.x 버전 중 7.4.4 이상의 버전
- FortiOS 버전 : 7.2.x 버전 중 7.2.8 이상의 버전
CVE-2024-21754
- FortiOS 버전 : 7.4.x 버전 중 7.4.4 이상의 버전
- FortiProxy 버전 : 7.4.x 버전 중 7.4.3 이상의 버전
참고 사이트
[1] Multiple buffer overflows in diag npu command
https://www.fortiguard.com/psirt/FG-IR-23-460
[2] CVE-2024-23110 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-23110
[3] Buffer overflow in fgfmd
https://fortiguard.fortinet.com/psirt/FG-IR-24-036
[4] CVE-2024-26010 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-26010
[5] FortiOS/FortiProxy – XSS in reboot page
https://fortiguard.fortinet.com/psirt/FG-IR-23-471
[6] CVE-2024-23111 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-23111
[7] Stack buffer overflow on bluetooth write feature
https://fortiguard.fortinet.com/psirt/FG-IR-23-356
[8] CVE-2023-46720 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-46720
[9] Weak key derivation for backup file
https://fortiguard.fortinet.com/psirt/FG-IR-23-423
[10] CVE-2024-21754 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-21754
[11] Upgrade Path Tool Table
https://docs.fortinet.com/upgrade-tool/fortigate