OzzTech - FortiOS 7.0.3 Sürümü ile Çözülen Hatalar ve Yeni Bildirimler

FortiOS 7.0.3 Sürümü ile Çözülen Hatalar ve Yeni Bildirimler

FortiOS 7.0.3 Hatalar

Bu yazıda FortiOS 7.0.3 sürümünde bildirilen hatalar üzerindeki çözümleri ve düzeltilmeleri hakkında ve bu sürümde ortaya çıkan yeni hatalar hakkında bilgi verilecektir.

FortiOS 7.0.3 Çözülmüş Hatalar

Hata kimliği 752134 olan CVE Referansına karşı savunmasızlık yaratan sorunlar ve hatalar FortiOS 7.0.3 sürümünde düzeltilmiştir. Belirli bir hatayla ilgili sorularınız olursa Fortinet temsilciniz Ozztech ile iletişime geçebilirsiniz.

Ortak Güvenlik Açıkları ve Etkilenmeler

Hata KimliğiCVE referansları
752134FortiOS 7.0.3 sürümüyle birlikte, CVE-2021-42757 Referansına karşı savunmasız değildir.

FortiOS 7.0.3 ile Çıkan Hatalar

FortiOS 7.0.3 sürümünde tanımlanmış hatalar aşağıda listelenmiştir. Çözümü olan hatalar çözümleri ile birlikte açıklanmıştır. FortiOS 7.0.3 sürümü ile ilgili bilgi almak veya hatalar için bildirimde bulunmak isterseniz Fortinet müşteri destek hizmetleriyle iletişime geçebilirsiniz.

Anti Virüs

Hata KimliğiAçıklama
723686IMAP proxy'sindeki kısmi getirme işlemi, yalnızca ilk getirilen bölümü algılar ve tarar. Bu hata ile sonradan getirilen bölümlerdeki tehditlerin firewallda algılanmadan geçmesine izin verir.

Uygulama kontrolü

Hata KimliğiAçıklama
752569Uygulama listesi altındaki IP şekillendiriciler bazı uygulamalar üzerinde beklendiği gibi çalışmamaktadır.

Uç Nokta Kontrolü

Hata KimliğiAçıklama
708545WAD arka plan programı, bir proxy policysini denetlemek için etkinleştirilen ZTNA EMS etiketine bağlı olarak FortiClient bilgilerini almak için harekete geçer. Bu yüzden, ardından firewall dinamik adresinde bir ZTNA EMS etiketi almak ve beklenen trafik kontrolünü elde etmek mümkün hale gelir.
730767HA geçiş yaptığı zaman, yeni HA birincil FortiGate,EMS Cloud bilgilerini alamamktadır.
Çözüm: EMS Cloud entrysini silin ve ardından tekrar ekleyin.
744613EMS uç noktası IP ve MAC adresleri, FortiGate'deki ZTNA etiketleri ile senkronize edilmememektedir.

Açık Proxy

Hata KimliğiAçıklama
664380Açık proxy'yi yönlendiren server konfigüre edilirken, eğer  ssl-ssh-profile,  proxy-policy çinde etkinleştirilirse, WAD hedef türünü doğru şekilde algılayamaz, bu yüzden hedef bağlantı noktası 0'a ayarlanır, ancak squid proxy serverı isteği kabul etmez ve hata ile döner.

Firewall

Hata KimliğiAçıklama
739949HA vcluster ihtimalinde, Firewall Policy sayfasında bulunan Bayt sayacı, ikinci için her zaman 0 Bayt  gösterirken, Edit Policy sayfası istatistiklerde Toplam baytı doğru göstermektedir.
746891FortiOS GUI'den gönderilen otomatik güncelleme komut dosyasının Sıfır Policy Kimliği, FortiManager'ın senkronizasyon dışında kalmasına neden olmaktadır.

GUI

Hata KimliğiAçıklama
440197Sistem> FortiGuard sayfasında, AntiVirus ve IPS Güncellemeleri için server düzgün çalışıyor olsa bile FortiGuard serverını geçersiz kılınması Unknow Bilinmeyen bir durumun olduğunu göstermektedir. Bu sorun sadece görüntüleme sorunudur geçersiz kılma özelliği sorunsuz çalışmaktadır.
663558JSConsole ile GUI'de bir VDOM'de oturum açarken, sistem olay logu yanlış IP adresini görüntülemektedir.
685431Policy and Objects > Firewall Policy sayfasında, 20 binden fazla policy bulunduğunda, policy listesinin yüklenmesi yaklaşık 30 saniye veya daha uzun sürebilir.
Geçici çözüm : Policyleri konfigüre etmek için CLI'yi kullanın.
707589System > Certificates listesi bazen bir sertifika için yanlış referans sayısı gösterir ve yanlışlıkla kullanıcının referans verilen bir sertifikayı silmesine izin verir. Başarılı mesajı görünse bile silme işlemi başarısız olacaktır. Tüm referanslar kaldırıldıktan sonra kullanıcılar sertifikayı silebilmelidir.
708005Kullanıcılar Firefox'ta SSL VPN web portalını kullanırken, SSH terminal emulatöre metin yapıştıramaz. Çözüm : Tarayıcı olarak Chrome, Edge veya Safari kullanın.
713529FortiAnalyzer konfigüre edildiğinde, bazı FortiAnalyzer log isteklerini işlerken HTTPS arka plan programı çökebilir. GUI işlemi üzerinde net bir etkisi yoktur.
714455CLI, adres seçim listesinde EMS etiketini gösterir, ancak GUI çok yönlü seçim listesinde bulunmamaktadır.
729324Yönetilen FortiAP'ler ve Yönetilen FortiSwitch sayfaları, VDOM yöneticisinin netgrp ve wifi okuma/yazma izinlerini aldığı zaman yüklenmeye devam eder.
730466EMS etiketi olan EMS olmayan bir adres grubu varsa (geçersiz konfigürasyon) arama, Policy & Objects > Addresses sayfasında çalışmamaktadır.
730533VIP'ler veya web modunun etkin olduğu sanal sunucular ile SSL VPN policysi için GUI hata mesajını düzeltin.
735248Bir cep telefonunda, varsayılan firewall kimlik doğrulama oturum açma şablonu kullanıldığında ve kullanıcı kimlik doğrulama türü HTTP olarak ayarlandığında, WiFi sabit şablonunun yüklenmesi daha uzun sürebilmektedir.
Geçici çözüm: HTTP kimlik doğrulamasını devre dışı bırakmak için oturum açma şablonunu düzenleyin veya googleapis'in href bağlantısını silin.
738027Device Inventory widgetı, iki user_info parametresi olduğunda hiçbir sonuç göstermemektedir.
Geçici çözüm: Cihaz listesini elde etmek için CLI'yi kullanın.
742626Başlıktaki VDOM açılır listesi kaydırılabilir olmalıdır.
746239Aynı harici IP'ye, eşlenmiş IP aralıklarına ve farklı hizmetlere sahip başka bir VIP olduğunda yeni VIP oluşturulamamaktadır.
746953Network > Interfaces sayfasında, kullanıcılar TFTP sunucusu ayarını değiştiremez. Mesajla ''Bu seçenek düzgün çalışmayabilir. CLI kullanılarak zaten konfigüre edilmiştir: tftp-server. '' uyarısı alabilirsiniz. Bu uyarı mesajı DHCP Seçenekleri girişinin yanında çıkar.
Geçici çözüm: CLI kullanın.
748010GUI'den bir ZTNA kuralı düzenlemesi ya da oluşturulması sırasında, kullanıcılar Incoming Interface (Gelen Arayüz ) için herhangi bir arayüz seçemezler. Kullanıcılar yine de bu seçeneği CLI'de konfigüre edilebilir.
748530Policy Route üzerinde 0.0.0.0 ağ geçidi kabul edilmez.
749451Network > SD-WAN sayfasında, sys sdwan intf-sla-log tanılamanın RX ve TX değerleri 232-1'i geçtiğinde, grafiklerde görüntülenen gönderilen/alınan miktarı REST API'sinden sağlanan değerlerle eşleşmez.
750490GUI'de yapılan firewall policy değişiklikleri, policydeki yedek ileti grubunu kaldırır.
755177Firmware'i 7.0.1'den 7.0.2'ye yükseltirken, GUI bunun geçerli upgrade yöntemi olmadığını söyleyen bir uyarı hatası verir.
756420Bir bağlantı olduğunda FortiManager'a bağlantı kapalı olarak gösterilir.
757130Upgrade işleminden sonra, GUI'de konfigüre edilen yeni ACME sertifikaları hazırlama ortamını kullanır.

HA

Hata KimliğiAçıklama
66297810G arayüzüne sahip HA ikincil cihazda uzun süreli oturumlar sona erer.
701367Birden çok sanal kümesi bulunan bir HA ortamında,  System > HA, 1. sanal küme altında Çalışma Süresi, Oturumlar ve Verimlilik istatistiklerini görüntüler. Bu istatistikler tüm cihaz için geçerlidir. Diğer sanal kümeler için istatistikler görüntülenmez.
729719Ha-direct'i etkinleştirirken, bazı geçersiz konfigürasyonlar sıfırlanmalı ve gizlenmelidir.
730770HA senkronizasyonu çöktükten sonra, FGFM işlemi canlı tutma mesajı göndermeyi durdurur.
732201Önceden konfigüre edilmiş VDOM'de VDOM geri yüklemesi, bazen ilk cihazda yüksek CPU'ya neden olur.
738934HA yük devretme üzerine VWP arabiriminde hiçbir GARP gönderilmez ve bu yük devretme süresinin uzamasına neden olur.
740933Yerel sertifika yüklenirken HA senkronizasyondan çıkar.
750004İkincil FortiGate, bir DHCP IP'sinin çakışmasından dolayı kaldırıldığını gösterir, ancak birincil FortiGate üzerinde kaldırılmaz.

IPsec VPN

Hata KimliğiAçıklama
715671EAP kimlik doğrulamalı VPN IKEv2 çevirmeli bağlantıda trafik başarısızdır.
740475NP6'nın bağımsız olduğu platformlar için SA yanlış NP6'ya gittiğinden dolayı trafik IPsec VPN tüneli üzerinden gönderilemez.
Etkilenen modeller: FG-2000E ve FG-2500E.
740624FortiOS 7.0, çevirmeli VPN için yeni bir tasarımı bulunmaktadır. (Artık IPsec tünelinde route tree bulunmmaktadır.), bu yüzden FortiOS 6.4.6'dan 7.0.1, 7.0.2 veya 7.0.3'e upgrade edildikten sonra çevirmeli IPsec VPN üzerinden trafik geçmeyebilir. Server trafiği istemciye geri yönlendirmek için dinamik tünel arabirimi üzerinden statik yoldan yanıt verir.

Geçici çözüm: src-subnet istemci 2. aşama arabiriminde konfigüre edin. Sonra, server tarafında IKE tarafından statik yollar eklenir (yol ekleme etkinleştirmesi gereklidir). Konfigürasyon kodu;

config vpn ipsec phase2-interface
edit <name>
set src-subnet <x.x.x.x/x>
next
end

Log ve Rapor

Hata KimliğiAçıklama
747854Daire çizerken ve SQL sonucunda yalnızca bir giriş olduğunda HPDF hatası nedeniyle PDF raporu oluşturma işlemi başarısız olur.

Proxy

Hata KimliğiAçıklama
712584WAD bellek sızıntısı, cihazın koruma modunu devreye sokar.
735893Chrome 92 güncellemesiyle birlikte, 5.00246, 6.00099 veya 7.00034'ten daha eski bir IPS motoru çalıştıran FOS 6.2, 6.4 veya 7.0'da kullanıcılar, UTM uygulanması yüzünden proxy modunda belirli web sitelerine erişimleri kapanır. Akış modunda sorunsuz çalışmaya devam eder..
758122WAD belleği, büyük bir dosyanın indirilmesi başarısız olduğunda, FortiGate'in koruma moduna girmesine neden olabilir.

Security Fabric

Hata KimliğiAçıklama
61469150'den fazla aşağı akış cihazıyla büyük Fabric topolojisinde GUI performansı yavaşlar.
748389Security Fabric otomasyon e-posta tetikleyicisi, birden çok e-postayı, adresler arasında ayrım olmadan tek bir e-posta olarak gösterir.
753056Failed Login Attempts  (Başarısız Giriş Denemeleri) tavsiye edilen bilgi, güvenlik derecelendirme kuralının kilitleme süresi 1800 dakika yerine en az 30 dakika olmalıdır.
753358FortiDeceptor Fabric olayıyla otomasyon tetikleyicisi tetiklenmemektedir.
755187Kullanılmayan Policyler için güvenlik derecelendirmesi testi, yapılması kabul edildiğinde birlikte kullanılmayan policyler olduğunda Başarılı olarak değerlendirerek hata verir.

SSL VPN

Hata KimliğiAçıklama
737894Bir SSL VPN policysinde herhangi bir kullanıcı veya grup yoksa, bir FQDN firewall policysinde, hedef adres olduğunda SSL VPN arka plan programı çökebilir.
753515DTLS, SSL VPN için çalışmaz ve TLS'ye geçer.

Switch Controller

Hata KimliğiAçıklama
740661FortiGate, aşırı konfigürasyon zorlamalarından dolayı FortiSwitch yönetim erişimini kaybeder.

Sistem

Hata KimliğiAçıklama
572847wan1, wan2 ve dmz arabirimleri, 60F serisinde hardware switchin üyesi olarak konfigüre edilmemelidir. Wan arabirimi, 40F serisinde hardware switchin üyesi olarak konfigüre edilmemelidir.
596942SoC3 platformları, bir PKCE IOCTL bekleme modundayken WAD tanılama CLI komutları tarafından kesintiye uğrarsa kernel paniği oluşabilir.
639861FG-3400E ve FG-3600E için 10G, 25G, 40G ve 100G arayüzleri üzerinde FEC (forward error correction, ileri hata düzeltme) uygulamalarını destekleyin.
644782Fazla sayıda cihaz algılandığında, httpsd'nin kaynakları bitirmesine ve düşük kaliteli cihazların koruma moduna girmesine neden olur.
6755581G bakırdan yapılmış SFP'li SFP bağlantı noktası her zaman açıktır.
679035NP6 düştüğünde ve bant genişliği npu-vlink olduğunda 10 Gbps'nin altında sınırlıdır.
681322Policy üzerindeki hizmet bu bağlantı noktasını içermese de, authd tarafından TCP 8008'e izin verilir.
683299Bağlantı noktası grubu üyeleri, CLI komut dosyası kullanılarak değiştirildikten sonra bağlantı noktası hızları farklı olur.
685674FortiGate, yedekleme konfigürasyonunu geri yükledikten sonra yeniden başlamamaktadır.
699152FG-1100E, FG-1101E, FG-2200E, FG-2201E, FG-3300E, FG-3301E, FG-3600E ve FG-3601E modelleri üzerinde QinQ (802.1ad) desteği gerekir.
716341Hız 10G'ye ayarlandığında SFP28 bağlantı noktası çarpışır.
741359IEEE 802.3 uyarınca, 64 sekizli altındaki NP çerçeveleri RX'te atılmalıdır.
755953FortiManager'ın doğrudan CLI komut dosyası, bitmesi nedeniyle sondaki hata ayıklama crashlog okuması tespiti başarısız olur.
756713Statik modda LAG arabiriminde paket kaybı bulunan modeller:
FG-110xE,
FG-220xE ve
FG-330xE.

Kullanıcı doğrulama

Hata KimliğiAçıklama
750551DST_Root_CA_X3 sertifikasının süresi bitti.
Çözüm : Daha fazla bilgi almak için Fortinet PSIRT bloğuna bakabilirsiniz.
756763E-posta toplama kısıtlama portalında bir kullanıcı, şartları ve sorumluluk reddi sözleşmesi için onay tuşunu tıklamadan Continue tuşuna tıklayabilir.
757883FortiGate, root CA'nın çapraz imzalı ara CA'sı geçerli olsa da, süresi dolmuş root CA'yı engeller.
765136NSX-T ile FortiGate ve FortiManager arasında bağlantı olmadığında dinamik objects temizlenir.

VM

Hata KimliğiAçıklama
689047ARM64-KVM'de kernel paniği mevcuttur.
6913376.4.7 sürümünden 7.0.2'ye upgrade işlemi yapılırken, gcp-project-list konfigürasyonu bulunan GCP SDN bağlayıcı girişleri kaybolur.

WAN Optimizasyonu

Hata KimliğiAçıklama
728861Wanopt manuel moda ayarlanıp, harici bir proxy kullanıldığında HTTP/HTTPS trafiği geçemez.

Geçici Çözüm: wanopt'u otomatik moda alın veya wanopt profilinde transparent disable modunda bırakmaya ayarlayın.
754378Server tarafında FortiGate üzerinde bir WANOpt proxy policysi ile AV profili etkinleştirildiğinde, HTTPS üzerinden gönderilen EICAR blocklanmaz.

WiFi Controller

Hata KimliğiAçıklama
578440Kablosuz denetleyici, FortiGate'e yönlendirilen ARP isteklerini tüm tünel arayüzlerine geri göndermektedir.
600257FG-1000D ve FG-1500D, wpad ve cw_acd'de wireless kullanıcı tüneli trafiğini etkileyen bellek artışı olduğunda koruma moduna geçer.
675164FWF-60F yerel radyo, WPA3'ün desteklenmediğini göstermektedir.
726266GUI, yanlış bir WTP girişi ile FWF-60E'de yanıt vermiyor.
727301FortiAP ve FortiSwitch'in arkasındaki host bilgisayarlar karantinaya alınamıyor.
744687İstemci, en üste yeniden sıralanırsa, yeni NAC policysi ile eşleşmelidir.
745044Büyük ölçekli 802.11r hızlı BSS geçiş dağıtımı için WiFi controller üzerindeki wpad bekletici programının bellek kullanımını optimize edin.
748479cw_acd, 11 sinyaliyle kilitleniyor. AP'lerin bağlantısının kesiliyor veya yeniden katılmasına neden oluyor.
750425RADIUS MAC kimlik doğrulamasında, FortiGate NAS IP adresi, FortiGate adresini kullandıktan sonra 0.0.0.0'a dönecektir.
751509FAP-U432F'de, FortiGate GUI'de Radio 3 spektrum analizi devre dışı bırakılmalıdır.

İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.