漏洞背景

近日，嘉诚安全监测到Fortinet FotiOS & FortiProxy拒绝服务漏洞的安全风险通告，漏洞编号：CVE-2023-33306。

Fortinet（飞塔）是一家全球知名的网络安全产品和安全解决方案提供商，其产品包括防火墙和VPN、防病毒软件、入侵防御系统和终端安全组件等。FortiOS是专用于FortiGate网络安全平台上的安全操作系统，该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能；FortiProxy是一种安全的网络代理，通过结合Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术来保护员工免受网络攻击。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为中危漏洞。由于FotiOS & FortiProxy SSL-VPN中存在空指针取消引用漏洞，经过身份验证的远程威胁者可通过特制请求触发SSL-VPN服务崩溃，造成拒绝服务。

危害影响

影响版本：

FortinetFortiOS 版本：7.2.0 - 7.2.4

FortinetFortiOS 版本：7.0.0 - 7.0.10

FortinetFortiProxy 版本：7.2.0 - 7.2.2

FortinetFortiProxy 版本：7.0.0 - 7.0.8

修复建议

目前该漏洞已经修复，受影响用户可更新到以下版本：

FortinetFortiOS 版本>=7.4.0

FortinetFortiOS版本>=7.2.5

FortinetFortiOS版本>=7.0.11

FortinetFortiOS版本>=6.4.13

FortinetFortiProxy 版本>=7.2.4

FortinetFortiProxy 版本>=7.2.3

FortinetFortiProxy 版本>=7.0.9

FortinetFortiProxy 版本>=7.0.10

下载链接请参考：

https://docs.fortinet.com/product/fortigate/7.4

https://docs.fortinet.com/product/fortiproxy/7.2