Vigil@nce - FortiOS : Man-in-the-Middle de TLS
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-Middle entre
FortiOS et FortiGuard, afin de lire ou d’altérer des sessions TLS.
– Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual
Appliance, FortiClient, FortiGate, FortiGate Virtual Appliance,
FortiManager, FortiManager Virtual Appliance, FortiOS.
– Gravité : 2/4.
– Date création : 29/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit FortiOS peut se connecter sur les serveurs FortiGuard
à l’aide d’une session TLS.
Cependant, le client TLS de FortiOS accepte des algorithmes
faibles (anonyme, export et RC4).
Un attaquant peut donc se positionner en Man-in-the-Middle entre
FortiOS et FortiGuard, afin de lire ou d’altérer des sessions TLS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/FortiOS-Man-in-the-Middle-de-TLS-17527