Security Advisory: FortiMail-/FortiVoiceEnterprise-Schwachstelle (CVE-2020-9294)
Seit 2015 arbeite ich wieder als System Engineer für die Leuchter IT Solutions AG. Bereits von 2008 bis 2013 war ich für Leuchter tätig. Meine Kompetenzen liegen im Bereich Netzwerk und IT Security. In meiner Freizeit bin ich leidenschaftlicher Gleitschirmpilot, bin im Sommer gelegentlich auf dem Motorrad anzutreffen, seltener mal auch in einem Dojo auf der Matte.
Eine Sicherheitslücke (CVE-2020-9294) ermöglicht es Dritten, sich ohne Authentisierung über die Password-Change-Funktion Zugang zum System zu verschaffen.
Betroffen sind Systeme resp. folgende Versionen:
-
FortiMail versions 5.4.10 and below.
-
FortiMail versions 6.0.7 and below.
-
FortiMail versions 6.2.2 and below.
-
FortiVoiceEntreprise versions 6.0.1 and below.
-
FortiMail versions 5.3 and lower are not impacted by this vulnerability.
-
FortiVoiceEnterprise versions 5.3 and lower are not impacted by this vulnerability.
-
FortiMail Cloud has been upgraded to non-impacted versions.
Fortinet hat auf die Lücke reagiert und stellt Sicherheitsupdates zur Verfügung, welche über den regulären Release-Lauf eingespielt werden können.