„Projekt Mogul“: SSL Deep Inspection-Bug in FortiOS (gefixt)

Eine Schwachstelle im Protokoll TLS/SSL, die schon vor 8 Jahren als „Projekt Mogul“ und als CVE-2009-3555 bekannt wurde, ist nun in FortiOS gepatcht worden. Unter bestimmten Umständen könnte ein Angreifer Code in eine bestehende TLS-Verbindung einfügen, in dem eine Neuverhandlung (renegotiation) vorgetäuscht wird. Es wird dadurch aber nicht ermöglicht, den verschlüsselten Inhalt zu dechiffrieren.

Gefährdet sind die FortiOS-Versionen

  • v5.2.0 und älter
  • v5.4.0 – 5.4.5
  • v5.6.0

Es sind Patches für diese Firmware-Linien verfügbar (v5.4.6 und v5.6.1 oder höher).

Wir beraten Sie gern über die Vorgehensweise oder führen den Patch für Sie durch – sprechen Sie uns an!

Referenzen:

FORTINET PSIRT FG-IR-17-137 (PDF vom 10.11.17)

NIST CVE-2009-3555

Die Kommentarfunktion ist geschlossen.