Fortinet:Support-Alerts
Fortigate:Support-Alerts
Vorwort
Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
CSRF Vulnerabilities
FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414)
Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:
http://www.fortiguard.com/advisory/FGA-2013-22/
Affected Products: FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions
Solutions: Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3.
References: http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
Was ist eine CSRF (Cross-Site Request Forgery): Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation, we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.
FortiAuthenticator Privilege Escalation Vulnerability 16. Dezember 2013 (CVE-2013-6990)?
Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:
Impact: Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
Affected Products: FortiAuthenticator 1.x and 2.x
Solutions: Upgrade auf den FortiAuthenticator 3.0 empfohlen. NOTE Bei solch einem Upgrade ist folgendes zu berücksichtigen: FortiAuthenticator:FAQ#Upgrade
FortiWeb Stored Cross-Site Scripting Vulnerability 17. Januar 2014 (CVE-2014-1458)?
Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.
Affected Products: FortiWeb 5.0.3 oder früher.
Solutions: Upgrade auf FortiOS 5.0.4.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-001/
FortiGate Cross-Site Scripting Vulnerability 3. Februar 2014 (CVE-2013-7182)?
FortiOS 5.0.5 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "mkey" Paramenter in der folgenden URL:
/firewall/schedule/recurrdlg
Impact: Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
Affected Products: FortiOS 5.0.5 oder früher.
Solutions: Upgrade auf FortiOS 5.0.6. NOTE Bei einem Upgrade von einer früheren Version von FortiOS auf 5.0.6 ist der Upgrade Path einzuhalten. Weitere Informationen dazu siehe folgendes Dokument: Datei:FortiOS-Upgradepath.pdf (FortiOS 5 Upgrade Matrix)
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-003/
FortiWeb Cross-Site Scripting Vulnerability 3. Februar 2014 (CVE-2013-7181)?
Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:
/user/ldap_user/add
Impact: Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
Affected Products: FortiWeb 5.0.3 oder früher.
Solutions: Upgrade auf FortiOS 5.1.0.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-002/
Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)?
In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
Impact: Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.
Affected Products: OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected) FortiGate (FortiOS) 5.0.0 bis 5.0.6 FortiClient 5.x FortiAuthenticator 3.x FortiMail 4.3.x and 5.x FortiVoice models 200D, 200D-T und VM FortiRecorder FortiADC D-Series models 1500D, 2000D und 4000D FortiADC E-Series 3.x Coyote Point Equalizer GX / LX 10.x FortiDDoS 4.x FortiDNS AscenLink v6.5 and 7.0
References: http://heartbleed.com/ http://www.fortiguard.com/advisory/FG-IR-14-011/ http://www.us-cert.gov/ncas/alerts/TA14-098A
Solutions: Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen! Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released.
Workarounds: Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine Custom Signature die folgendermassen aussieht: NOTE Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung: "OpenSSL.TLS.Heartbeat.Information.Disclosure" # config ips custom # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All" # set action block # set comment # set signature "F-SBID( --attack_id 4982 \ # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \ # --protocol tcp; --src_port 443; --flow from_server,reversed; \ # --pattern \"|18 03|\"; --context packet; --within 2,context; \ # --byte_test 2,>,100,1,relative; )" # next # end Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden: # config ips sensor # edit "ssl.heartbleed" # config entries # edit 1 # set action reset # set rule 4982 # set status enable # next # end # next # end Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden: # config firewall interface-policy # edit 0 # set interface "wan1" # set srcaddr "all" # set dstaddr "all" # set service "HTTPS" # set ips-sensor-status enable # set ips-sensor "ssl.heartbleed" # next # end
Hinweis: Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate" erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.
Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:
Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F
Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)?
Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:
https://www.openssl.org/news/secadv_20140605.txt SSL/TLS MITM vulnerability (CVE-2014-0224) DTLS recursion flaw (CVE-2014-0221) DTLS invalid fragment vulnerability (CVE-2014-0195) SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298) Anonymous ECDH denial of service (CVE-2014-3470)
Impact CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln. CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen. CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist. CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist. CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden. NOTE Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen
Affected Products FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS, FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox, FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink
Risk - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service). - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298. - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195. - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.
Workarounds: FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet. Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die FortiAP's verwaltet komplett deaktiviert werden: # config system global # set wireless-controller [enable / disable] # end
Firmware Updates Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!
Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:
http://www.fortiguard.com/advisory/FG-IR-14-018/
FortiGate Vulnerabilities in FortiManager Service (CVE-2014-0351, CVE-2014-0352)?
Impact: Ueber einen speziellen "denial of service" Angriff mit speziellen Anfragen zum FortiManager (TCP 541) Service kann ein unerlaubter Code ausgeführt werden. Die Ausführung des Codes konnte nicht nachgewiesen werden ist jedoch unter bestimmten Umständen möglich (CVE-2014-0352). Zusätzlich ist es möglich einen "man-in-the-middle" Angriff für das Service Protokoll des FortiManagers (TCP 541) durchzuführen indem ein "anonymous cipher suite" benutzt wird (CVE-2014-0351).
Affected Products: FortiOS 5.0.0 bis 5.0.7, FortiOS 4.3.15 und tiefere Versionen
Solutions: Upgrade auf FortiOS 4.3.16, 5.0.8, or 5.2.0.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-006/
Remote Exploit Vulnerability in Bash - 24. September 2014 - (Shellshock) (CVE-2014-6271)?
In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
Impact: Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen auf unix basierenden Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell (weit verbreitetste Shell auf unix basierten Systemen) wird dieser Exploit als kritisch eingestuft! Affected Products: FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit FortiAuthenticator - authentication required to exploit FortiDB FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit AscenLink v7.X
References: http://www.fortiguard.com/advisory/FG-IR-14-030/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
Solutions: Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.
Workarounds: Durch Fortigate erreichbare Systeme können durch hinzufügen der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag.
Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Sitnatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt.
Support Alert
Fortinet Support Bulletin Anouncing Page?
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
https://support.fortinet.com/EndUser/Bulletin.aspx
Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)?
Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf
Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück?
Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:
Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf
Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!
NOTE Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem Workaround ein Upgrade auf Patch 14 durchzuführen!
FortiGate/FortiOS Ports down after 248 days of operation?
Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:
Link negotiation errors Port status down Port satus up but no traffic passing Link failure Port interface statistic rx/tx not correct
Folgende Modelle und Module sind betroffen:
FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B FortiGate FMC Module: C20/F20/XD2 FortiCarrier: 3950B/3951B/5001B
Folgende FortiOS Pachlevel sind betroffen:
FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12) FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8) FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12) FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)
Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:
Datei:CSB-270513-1-port-down-248-days-1.pdf
Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert?
Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [CC] Zertifiziert:
FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B
Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf
FortiClient AV update package causes connectivity issues?
Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.
Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!
Workaround um den "False Positvie" zu beheben: Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet: FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined" Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch: 1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media: ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip 2. Disable the "Real Time Protection" from the FortiClient Console. 3. Shutdown the FortiClient software. 4. Open the cmd prompt with "Run As Administrator" privilege. 5. Perform the command "net stop fortishield". 6. Transfer the TCPIP-fix.zip to the workstation from the USB flash. 7. Extract TCPIP-fix.zip into a folder. 8. Using the command line interface, browse to the extracted folder. 9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window: Please reboot when Windows reports that it has finished installing adapters. Press any key to continue . . . 10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use". 11. Reboot the PC. 12. After the reboot and the network is restored, update the FortiClient AV signatures. 13. Re-enable "Real Time Protection" from the FortiClient Console.
Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Datei:CSB-130724-1 FCT AV package network issue.pdf
FortiWeb connection timeouts during IP Reputation service update?
Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:
get IP intelligence hash node error(1000000)
Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:
5.0.0, 5.0.1, 5.0.2
Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:
5.0.3
Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131018-1 FWB Connection Timeouts IP Reputation.pdf
FortiGate Heartbeat Failures if the system uptime is greater than 497 days?
Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:
FortiOS 4.0.0 - 4.3.15 FortiOS 5.0.0 - 5.0.4
Um den Uptime zu überprüfen führe folgendes Kommando aus:
# get sys performance status
Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131106-1 FGT Heartbeat failures 497 days.pdf
FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C?
Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:
Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!
Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:
Datei:CSB-131113-1 FGT NP4 Hang Issue.pdf
FortiGuard updates to FortiOS 2.8 to finish?
Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-131126-1.
FortiGate/FortiManager IPS Engine update Januar/Februar 2014?
IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:
January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions NOTE In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel: Fortigate:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F
Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:
ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg Einzuspielen über die Position: System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update
Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:
# get syst auto-update version IPS Attack Engine --------- Version: 2.00137
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140110-1.
Fortinet Information Disclosure Vulnerability in OpenSSL?
Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:
Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F
Weitere Informationen findet man im foglenden Support Alert Dokument:
Datei:CSB-140408-1 OpenSSL Vulnerability.pdf
FortiGuard Updates für FortiOS 3.0 End Of Life?
Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.
Folgende Produkte sind betroffen:
Alle FortiGate Modelle mit installiertem FortiOS 3.0 Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5: IPS Engine: 1.097 AV Engine: 3.010
Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6: IPS Engine: 1.129 AV Engine: 3.010
Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140514-1:
Datei:CSB-140514-1 FGD updates 30 .pdf
FortiDDoS upgrading to 4.1.0 / 4.1.1
Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:
Datei:CSB-140702-1 FDD upgrade.pdf