Eine Schwachstelle im Protokoll TLS/SSL, die schon vor 8 Jahren als „Projekt Mogul“ und als CVE-2009-3555 bekannt wurde, ist nun in FortiOS gepatcht worden. Unter bestimmten Umständen könnte ein Angreifer Code in eine bestehende TLS-Verbindung einfügen, in dem eine Neuverhandlung (renegotiation) vorgetäuscht wird. Es wird dadurch aber nicht ermöglicht, den verschlüsselten Inhalt zu dechiffrieren.
Gefährdet sind die FortiOS-Versionen
- v5.2.0 und älter
- v5.4.0 – 5.4.5
- v5.6.0
Es sind Patches für diese Firmware-Linien verfügbar (v5.4.6 und v5.6.1 oder höher).
Wir beraten Sie gern über die Vorgehensweise oder führen den Patch für Sie durch – sprechen Sie uns an!
Referenzen: