Vigil@nce - Fortinet FortiClient : deux vulnérabilités
février 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Fortinet
FortiClient.
Produits concernés : FortiClient
Gravité : 2/4
Date création : 29/01/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Fortinet
FortiClient pour iOS ou Android.
La clé de chiffrement est constante ("FoRtInEt !AnDrOiD"), ce qui
permet à un attaquant de déchiffrer les mots de passe
enregistrés. [grav:1/4 ; CVE-2015-1453]
Les clients SSL VPN et Endpoint Control ne valident pas
correctement les certificats X.509, donc un attaquant peut se
placer en Man-In-The-Middle. [grav:2/4 ; CVE-2015-1569,
CVE-2015-1570]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Fortinet-FortiClient-deux-vulnerabilites-16080