Fortinet:Support-Alerts

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

Fortigate:Support-Alerts

Vorwort

Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

CSRF Vulnerabilities

FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414)

Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:

       http://www.fortiguard.com/advisory/FGA-2013-22/ 
       Affected Products:
       FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions 
       Solutions:
       Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3. 
       References:
       http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
       Was ist eine CSRF (Cross-Site Request Forgery):
       Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that
       script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the 
       logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation, 
       we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.

FortiAuthenticator Privilege Escalation Vulnerability 16. ‎Dezember ‎2013 (CVE-2013-6990)?

Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:

       Impact:
       Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin
       User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
       Affected Products:
       FortiAuthenticator 1.x and 2.x 
       Solutions:
       Upgrade auf den FortiAuthenticator 3.0 empfohlen.
       
       NOTE Bei solch einem Upgrade ist folgendes zu berücksichtigen:
       
       FortiAuthenticator:FAQ#Upgrade

FortiWeb Stored Cross-Site Scripting Vulnerability 17. ‎Januar ‎2014 (CVE-2014-1458)?

Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.

       Affected Products:
       FortiWeb 5.0.3 oder früher.
       Solutions:
       Upgrade auf FortiOS 5.0.4.
       Refrences:
       http://www.fortiguard.com/advisory/FG-IR-14-001/

FortiGate Cross-Site Scripting Vulnerability ‎3. ‎Februar ‎2014 (CVE-2013-7182)?

FortiOS 5.0.5 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "mkey" Paramenter in der folgenden URL:

       /firewall/schedule/recurrdlg
       Impact:
       Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
       Affected Products:
       FortiOS 5.0.5 oder früher.
       Solutions:
       Upgrade auf FortiOS 5.0.6.
       
       NOTE Bei einem Upgrade von einer früheren Version von FortiOS auf 5.0.6 ist der Upgrade Path
            einzuhalten. Weitere Informationen dazu siehe folgendes Dokument:
            
            Datei:FortiOS-Upgradepath.pdf (FortiOS 5 Upgrade Matrix)
       Refrences:
       http://www.fortiguard.com/advisory/FG-IR-14-003/

FortiWeb Cross-Site Scripting Vulnerability ‎3. ‎Februar ‎2014 (CVE-2013-7181)?

Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:

       /user/ldap_user/add
       Impact:
       Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
       Affected Products:
       FortiWeb 5.0.3 oder früher.
       Solutions:
       Upgrade auf FortiOS 5.1.0.
       Refrences:
       http://www.fortiguard.com/advisory/FG-IR-14-002/

Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)?

In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen
       diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL 
       Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS 
       geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB 
       auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen 
       Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung 
       eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die 
       "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch 
       diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server 
       entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen 
       zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.
       Affected Products:
       OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected)
       FortiGate (FortiOS) 5.0.0 bis 5.0.6
       FortiClient 5.x
       FortiAuthenticator 3.x
       FortiMail 4.3.x and 5.x
       FortiVoice models 200D, 200D-T und VM
       FortiRecorder
       FortiADC D-Series models 1500D, 2000D und 4000D
       FortiADC E-Series 3.x
       Coyote Point Equalizer GX / LX 10.x
       FortiDDoS 4.x
       FortiDNS
       AscenLink v6.5 and 7.0
       References:
       http://heartbleed.com/
       http://www.fortiguard.com/advisory/FG-IR-14-011/
       http://www.us-cert.gov/ncas/alerts/TA14-098A  
       Solutions:
       Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen!
       Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released. 
       Workarounds:
       Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine
       Custom Signature die folgendermassen aussieht:
       
       NOTE Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun
            auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard
            Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung:
            
            "OpenSSL.TLS.Heartbeat.Information.Disclosure" 
       
       # config ips custom
       # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All"
       # set action block
       # set comment 
       # set signature "F-SBID( --attack_id 4982 \
       # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \
       # --protocol tcp; --src_port 443; --flow from_server,reversed; \
       # --pattern \"|18 03|\"; --context packet; --within 2,context; \
       # --byte_test 2,>,100,1,relative;  )"
       # next
       # end
       
       Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden:
       
       # config ips sensor
       # edit "ssl.heartbleed"
       # config entries
       # edit 1
       # set action reset
       # set rule 4982
       # set status enable
       # next
       # end
       # next
       # end
       
       Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden:
       
       # config firewall interface-policy
       # edit 0
       # set interface "wan1"
       # set srcaddr "all"
       # set dstaddr "all"
       # set service "HTTPS"
       # set ips-sensor-status enable
       # set ips-sensor "ssl.heartbleed"
       # next
       # end
       Hinweis:
       Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit
       die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate"
       erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.

Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:

       Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F

Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)?

Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:

       https://www.openssl.org/news/secadv_20140605.txt
       
       SSL/TLS MITM vulnerability (CVE-2014-0224)
       DTLS recursion flaw (CVE-2014-0221)
       DTLS invalid fragment vulnerability (CVE-2014-0195)
       SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
       Anonymous ECDH denial of service (CVE-2014-3470)
       Impact
       CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln.
       CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen.
       CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden
       CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist.
       CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist. 
       CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden.
       
       NOTE Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen
       Affected Products
       FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS,
       FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox,
       FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink 
       Risk
       - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service). 
       - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298.
       - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195.
       - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.
       Workarounds:
       FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet.
       Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um
       dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die
       FortiAP's verwaltet komplett deaktiviert werden:
       
       # config system global
       # set wireless-controller [enable / disable]
       # end
       Firmware Updates
       Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!

Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:

       http://www.fortiguard.com/advisory/FG-IR-14-018/


FortiGate Vulnerabilities in FortiManager Service (CVE-2014-0351, CVE-2014-0352)?

      Impact:
      Ueber einen speziellen "denial of service" Angriff mit speziellen Anfragen zum FortiManager (TCP 541) Service kann 
      ein unerlaubter Code ausgeführt werden. Die Ausführung des Codes konnte nicht nachgewiesen werden ist jedoch unter 
      bestimmten Umständen möglich (CVE-2014-0352). Zusätzlich ist es möglich einen "man-in-the-middle" Angriff für das 
      Service Protokoll des FortiManagers (TCP 541) durchzuführen indem ein "anonymous cipher suite" benutzt wird 
      (CVE-2014-0351).
      Affected Products:
      FortiOS 5.0.0 bis 5.0.7, FortiOS 4.3.15 und tiefere Versionen 
      Solutions:
      Upgrade auf FortiOS 4.3.16, 5.0.8, or 5.2.0.
      Refrences:
      http://www.fortiguard.com/advisory/FG-IR-14-006/

Remote Exploit Vulnerability in Bash - 24. September 2014 - (Shellshock) (CVE-2014-6271)?

In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen, auf unix basierenden, Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und    
       diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von 
       remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell 
       wird dieser Exploit als kritisch eingestuft!
       Affected Products:
       FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit
       FortiAuthenticator - authentication required to exploit
       FortiDB
       FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit
       AscenLink v7.X
       References:
       http://www.fortiguard.com/advisory/FG-IR-14-030/
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
       Test:
       Um zu testen ob ein Unix basiertes System betroffen ist, kann folgender Befehl ausgeführt werden:
       
       # env var='() { :;};echo Vulnerable' /bin/bash -c /bin/true
       
       Oder, falls das System nicht über /bin/env verfügt:
       
       # export var='() { :;}; echo Vulnerable'; /bin/bash -c /bin/true
       
       Wenn "Vulnerable" angezeigt wird, ist ihr System betroffen. 
       Solutions:
       Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.
       Workarounds:
       Durch Fortigate erreichbare Systeme können mit der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten
       (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag.
       
       Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Signatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt.
       
       Der aktuelle Stand der IPS-Attack- und AV-Definitions-Datenbank kann mit folgendem Befehl angezeigt werden:
       
       # get system fortiguard-service status
       
       Das Update der IPS- und AV-Definitionen kann mit folgendem Befehl manuell angestossen werden:
       
       # execute update-now

SSL v3 "POODLE" Vulnerability - 16. Oktober 2014 - (CVE-2014-3566)?

Google hat eine weitere Schwachstelle im SSLv3 Protokoll entdeckt. Die "Poodle" benannte Sicherheitslücke ermöglicht es Angreifern Teile von SSLv3 verschlüsselten Verbindungen zu entschlüsseln. Theoretisch ist es einem Angreifer so möglich, aktive Sitzungen eines Anwenders zu kapern oder sogar dessen Account zu übernehmen. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Der auf einer Man-in-the-Middle (MitM) Postion basierende Angriff passiert in zwei Stufen: In einem ersten Schritt erzwingt der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen   
       Verbindung nach dem Protokollstandard SSLv3. Dieser Schritt basiert auf der Abwärtskompatibilität der Kommunikationspartner. In der Aufbauphase einer verschlüsselten Verbindung handeln diese die 
       verwendete Sicherheits-Protokoll-Version aus (heute normalerweise TLS 1.2). Dabei manipuliert der Angreifer aus seiner MitM Position die Aufbauphase so, dass es für die Kommunikationspartner so 
       aussieht, als würde der einte nur die alte Sicherheits-Protokoll-Version SSLv3 unterstützen. Als Konsequenz etablieren diese eine Verbindung welche mit dem alten Sicherheits-Protokoll SSLv3 
       verschlüsselt wird. In einem zweiten Schritt nutzt der Angreifer das SSLv3 Problem 'MAC-than-Encrypt' aus um einzelne Bytes der ausgetauschten Daten zu dechiffrieren.
       Affected Products:
       FotiGates in der Default Konfiguration (HTTPS GUI, bei der verwendung folgender Features: VIP load-balance, SSL VPN, wanopt, SIP SSL) 
       FortiMail in der default Konfiguration (HTTPS GUI, mail ssl services: SMTPS, IMAPS, POP3S) 
       FortiAnalyzer 
       FortiManager 
       FortiVoice 
       References:
       http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html 
       https://www.openssl.org/~bodo/ssl-poodle.pdf
       http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html
       Solutions:
       Die Sicherheitslücke kann bei den FortiGates und bei FortiMail durch die Deaktivierung von SSLv3 für die 5 Server welche SSL verwenden geschlossen werden: 
       Einstellungen am FortiOS (FortiGates): 
      
       GUI (openssl):    
       #config system global  
       #set strong-crypto enable  
       #end  


       (allenfalls verwendete Features:) 

       VIP load-balance (fts):
       #config firewall vip   
       #edit "your_vip"  
       #set ssl-min-version tls-1.0  
       #end  
       SSL VPN:
       #config vpn ssl settings
       #set sslv3 disable  (enabled per default)
       #end
       wanopt:     
       #config wanopt ssl-server   
       #edit <profile>  
       #set ssl-min-version tls-1.0  
       #end
       SIP SSL (not supported on low end units):
       #config voip profile
       #edit <profile>    
       #config sip
       #set ssl-mode full
       #set ssl-min-version tls-1.0
       Einstellungen an der Fortimail:
      
       All:
       #config system global
       #set strong-crypto enable
       #end
       Zum Zeitpunkt der Artikelerfassung war einzig der Internet Explorer 6 bekannt, welcher nach der Deaktivierung von SSLv3 möglicherweise Kombatibiltätsprobleme aufweisen könnte. Da es sich um eine  
       alte Browserversion handelt (aktuellste IE Version: 11) werden diese Kombatibilitätsprobleme vernachlässigt. D.h. es ist für die Fortigates (4.3.X, 5.0.X, 5.2.X) und für die Fortimail (5.0.X und 
       5.2.X) keine Patchung vorgesehen. Ein allfälliger Patch für die anderen betroffenen Produkte wird aktuell noch überprüft. 
       Eine alternative Lösung ist die Deaktivierung von SSLv3 im jeweiligen Browser (HowTo gemäss Browser Dokumentation).

Support Alert

Fortinet Support Bulletin Anouncing Page?

Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:

       https://support.fortinet.com/EndUser/Bulletin.aspx

Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)?

Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:

       Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf

Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:

       FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F

Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück?

Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:

       Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf

Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!

       NOTE Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler
            korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem 
            Workaround ein Upgrade auf Patch 14 durchzuführen!

FortiGate/FortiOS Ports down after 248 days of operation?

Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:

       Link negotiation errors
       Port status down
       Port satus up but no traffic passing
       Link failure
       Port interface statistic rx/tx not correct

Folgende Modelle und Module sind betroffen:

       FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B
       FortiGate FMC Module: C20/F20/XD2
       FortiCarrier: 3950B/3951B/5001B

Folgende FortiOS Pachlevel sind betroffen:

       FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12)
       FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8)
       FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12)
       FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)

Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:

       Datei:CSB-270513-1-port-down-248-days-1.pdf

Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert?

Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [CC] Zertifiziert:

       FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B

Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:

       Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf

FortiClient AV update package causes connectivity issues?

Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.

Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!

       Workaround um den "False Positvie" zu beheben:
       
       Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet:
       
       FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined"
       
       Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch:
       
        1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media:
          
           ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip
          
        2. Disable the "Real Time Protection" from the FortiClient Console.
        3. Shutdown the FortiClient software.
        4. Open the cmd prompt with "Run As Administrator" privilege.
        5. Perform the command "net stop fortishield".
        6. Transfer the TCPIP-fix.zip to the workstation from the USB flash.
        7. Extract TCPIP-fix.zip into a folder.
        8. Using the command line interface, browse to the extracted folder.
        9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window:
        
           Please reboot when Windows reports that it has finished installing adapters.
           Press any key to continue . . .
        10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use".
        11. Reboot the PC.
        12. After the reboot and the network is restored, update the FortiClient AV signatures.
        13. Re-enable "Real Time Protection" from the FortiClient Console.

Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:

       Datei:CSB-130724-1 FCT AV package network issue.pdf

FortiWeb connection timeouts during IP Reputation service update?

Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:

       get IP intelligence hash node error(1000000)

Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:

       5.0.0, 5.0.1, 5.0.2

Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:

       5.0.3

Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:

       Datei:CSB-131018-1 FWB Connection Timeouts IP Reputation.pdf

FortiGate Heartbeat Failures if the system uptime is greater than 497 days?

Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:

       FortiOS 4.0.0 - 4.3.15
       FortiOS 5.0.0 - 5.0.4

Um den Uptime zu überprüfen führe folgendes Kommando aus:

      # get sys performance status

Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:

       Datei:CSB-131106-1 FGT Heartbeat failures 497 days.pdf

FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C?

Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:

       Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!

Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:

       Datei:CSB-131113-1 FGT NP4 Hang Issue.pdf

FortiGuard updates to FortiOS 2.8 to finish?

Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.

Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-131126-1.

FortiGate/FortiManager IPS Engine update Januar/Februar 2014?

IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:

       January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases
       January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases
       February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions 
       
       NOTE In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation
            sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel:
            
            Fortigate:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F

Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:

       ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg 
       
       Einzuspielen über die Position:
       
       System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update

Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:

       # get syst auto-update version
        IPS Attack Engine
        --------- Version: 2.00137

Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140110-1.

Fortinet Information Disclosure Vulnerability in OpenSSL?

Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:

      Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F

Weitere Informationen findet man im foglenden Support Alert Dokument:

      Datei:CSB-140408-1 OpenSSL Vulnerability.pdf

FortiGuard Updates für FortiOS 3.0 End Of Life?

Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.

Folgende Produkte sind betroffen:

       Alle FortiGate Modelle mit installiertem FortiOS 3.0
       Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5:
       
       IPS Engine: 1.097
       AV Engine: 3.010
       Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6:
       
       IPS Engine: 1.129
       AV Engine: 3.010

Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140514-1:

      Datei:CSB-140514-1 FGD updates 30 .pdf

FortiDDoS upgrading to 4.1.0 / 4.1.1

Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:

      Datei:CSB-140702-1 FDD upgrade.pdf

FortiGate FortiOS 5.2.1 "IPSec tunnels (DHCP interface) do not come up after reboot"?

Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2.1 im Zusammenhang mit IPSec und DHCP Interface. Wenn ein IPSec Tunnel konfiguriert wird basierend auf einem FortiGate Interface (zB wan1) das dessen IP über DHCP bekommt wird der IKE Deamon/Service nach einem Neustart der FortiGate nicht mehr gestartet. Der Grund dafür ist der Folgende: Nach dem Neustart versucht der IKE Deamon den lokalen Gateway zu verifizieren. Da dies nicht möglich ist wird der IKE Deamon/Service nicht gestartet. Dieser Umstand betrifft "nur" Interface's die Ihre IP über einen DHCP Server bekommen dh. Interface's die statisch konfiguriert sind, sind nicht betroffend von diesem Umstand. Dieses Problem ist bekannt unter Bug ID:

       Reference Bug ID: 254898
       Affected Products:
       Alle FortiGate basierend auf FortiOS 5.2.1 (FortiOS 5.2.0 ist nicht betroffen)
       Workaround:
       Um diesem Bug entgegenzutreten gibt es vers. Workaround:
       
       Workaround 1: Nachdem Neustart/Reboot muss der IKE Deamon manuell neu gestartet werden:
                     Benütze auf der Kommandozeile folgendes Kommando:
                     
                     # diagnose sys top 20 40
                     # diagnose sys kill -9 <pid>
                     
                     Beispiel:
                     # diagnose sys top 20 40
                     ...
                     iked 70 S 0.0 1.1
                     # diag sys kill -9 70
                     
                     NOTE Um die Prozess ID des IKE Deamons/Service zu erurieren kann ebenfalls folgender Befehl benützt werden:
                          
                          # fnsysctl more /var/run/iked.pid
                          70
        
       Workaround 2: Roll-back resp. Downgrade auf 5.2.0 (Diesen Weg empfehlen wir nicht).
       Workaround 3: Sofern möglich Konfiguration einer "statischen" IP auf dem FortiGate Interface.
       Resolution:
       Dieser Bug mit der ID 254898 wird in FortiOS 5.2.2 behoben sein. Release Datum für diese Version ist voraussichtlich 10. Oktober 2014.

Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140924-1:

      Datei:CSB-140924-1 IPSec DHCP Interface.pdf