Bu yazıda FortiOS 7.0.3 sürümünde bildirilen hatalar üzerindeki çözümleri ve düzeltilmeleri hakkında ve bu sürümde ortaya çıkan yeni hatalar hakkında bilgi verilecektir.
FortiOS 7.0.3 Çözülmüş Hatalar
Hata kimliği 752134 olan CVE Referansına karşı savunmasızlık yaratan sorunlar ve hatalar FortiOS 7.0.3 sürümünde düzeltilmiştir. Belirli bir hatayla ilgili sorularınız olursa Fortinet temsilciniz Ozztech ile iletişime geçebilirsiniz.
Ortak Güvenlik Açıkları ve Etkilenmeler
Hata Kimliği | CVE referansları |
---|---|
752134 | FortiOS 7.0.3 sürümüyle birlikte, CVE-2021-42757 Referansına karşı savunmasız değildir. |
FortiOS 7.0.3 ile Çıkan Hatalar
FortiOS 7.0.3 sürümünde tanımlanmış hatalar aşağıda listelenmiştir. Çözümü olan hatalar çözümleri ile birlikte açıklanmıştır. FortiOS 7.0.3 sürümü ile ilgili bilgi almak veya hatalar için bildirimde bulunmak isterseniz Fortinet müşteri destek hizmetleriyle iletişime geçebilirsiniz.
Anti Virüs
Hata Kimliği | Açıklama |
---|---|
723686 | IMAP proxy’sindeki kısmi getirme işlemi, yalnızca ilk getirilen bölümü algılar ve tarar. Bu hata ile sonradan getirilen bölümlerdeki tehditlerin firewallda algılanmadan geçmesine izin verir. |
Uygulama kontrolü
Hata Kimliği | Açıklama |
---|---|
752569 | Uygulama listesi altındaki IP şekillendiriciler bazı uygulamalar üzerinde beklendiği gibi çalışmamaktadır. |
Uç Nokta Kontrolü
Hata Kimliği | Açıklama |
---|---|
708545 | WAD arka plan programı, bir proxy policysini denetlemek için etkinleştirilen ZTNA EMS etiketine bağlı olarak FortiClient bilgilerini almak için harekete geçer. Bu yüzden, ardından firewall dinamik adresinde bir ZTNA EMS etiketi almak ve beklenen trafik kontrolünü elde etmek mümkün hale gelir. |
730767 | HA geçiş yaptığı zaman, yeni HA birincil FortiGate,EMS Cloud bilgilerini alamamktadır. Çözüm: EMS Cloud entrysini silin ve ardından tekrar ekleyin. |
744613 | EMS uç noktası IP ve MAC adresleri, FortiGate’deki ZTNA etiketleri ile senkronize edilmememektedir. |
Açık Proxy
Hata Kimliği | Açıklama |
---|---|
664380 | Açık proxy’yi yönlendiren server konfigüre edilirken, eğer ssl-ssh-profile , proxy-policy çinde etkinleştirilirse, WAD hedef türünü doğru şekilde algılayamaz, bu yüzden hedef bağlantı noktası 0’a ayarlanır, ancak squid proxy serverı isteği kabul etmez ve hata ile döner. |
Firewall
Hata Kimliği | Açıklama |
---|---|
739949 | HA vcluster ihtimalinde, Firewall Policy sayfasında bulunan Bayt sayacı, ikinci için her zaman 0 Bayt gösterirken, Edit Policy sayfası istatistiklerde Toplam baytı doğru göstermektedir. |
746891 | FortiOS GUI’den gönderilen otomatik güncelleme komut dosyasının Sıfır Policy Kimliği, FortiManager’ın senkronizasyon dışında kalmasına neden olmaktadır. |
GUI
Hata Kimliği | Açıklama |
---|---|
440197 | Sistem> FortiGuard sayfasında, AntiVirus ve IPS Güncellemeleri için server düzgün çalışıyor olsa bile FortiGuard serverını geçersiz kılınması Unknow Bilinmeyen bir durumun olduğunu göstermektedir. Bu sorun sadece görüntüleme sorunudur geçersiz kılma özelliği sorunsuz çalışmaktadır. |
663558 | JSConsole ile GUI’de bir VDOM’de oturum açarken, sistem olay logu yanlış IP adresini görüntülemektedir. |
685431 | Policy and Objects > Firewall Policy sayfasında, 20 binden fazla policy bulunduğunda, policy listesinin yüklenmesi yaklaşık 30 saniye veya daha uzun sürebilir. Geçici çözüm : Policyleri konfigüre etmek için CLI’yi kullanın. |
707589 | System > Certificates listesi bazen bir sertifika için yanlış referans sayısı gösterir ve yanlışlıkla kullanıcının referans verilen bir sertifikayı silmesine izin verir. Başarılı mesajı görünse bile silme işlemi başarısız olacaktır. Tüm referanslar kaldırıldıktan sonra kullanıcılar sertifikayı silebilmelidir. |
708005 | Kullanıcılar Firefox’ta SSL VPN web portalını kullanırken, SSH terminal emulatöre metin yapıştıramaz. Çözüm : Tarayıcı olarak Chrome, Edge veya Safari kullanın. |
713529 | FortiAnalyzer konfigüre edildiğinde, bazı FortiAnalyzer log isteklerini işlerken HTTPS arka plan programı çökebilir. GUI işlemi üzerinde net bir etkisi yoktur. |
714455 | CLI, adres seçim listesinde EMS etiketini gösterir, ancak GUI çok yönlü seçim listesinde bulunmamaktadır. |
729324 | Yönetilen FortiAP’ler ve Yönetilen FortiSwitch sayfaları, VDOM yöneticisinin netgrp ve wifi okuma/yazma izinlerini aldığı zaman yüklenmeye devam eder. |
730466 | EMS etiketi olan EMS olmayan bir adres grubu varsa (geçersiz konfigürasyon) arama, Policy & Objects > Addresses sayfasında çalışmamaktadır. |
730533 | VIP’ler veya web modunun etkin olduğu sanal sunucular ile SSL VPN policysi için GUI hata mesajını düzeltin. |
735248 | Bir cep telefonunda, varsayılan firewall kimlik doğrulama oturum açma şablonu kullanıldığında ve kullanıcı kimlik doğrulama türü HTTP olarak ayarlandığında, WiFi sabit şablonunun yüklenmesi daha uzun sürebilmektedir. Geçici çözüm: HTTP kimlik doğrulamasını devre dışı bırakmak için oturum açma şablonunu düzenleyin veya googleapis’in href bağlantısını silin. |
738027 | Device Inventory widgetı, iki user_info parametresi olduğunda hiçbir sonuç göstermemektedir. Geçici çözüm: Cihaz listesini elde etmek için CLI’yi kullanın. |
742626 | Başlıktaki VDOM açılır listesi kaydırılabilir olmalıdır. |
746239 | Aynı harici IP’ye, eşlenmiş IP aralıklarına ve farklı hizmetlere sahip başka bir VIP olduğunda yeni VIP oluşturulamamaktadır. |
746953 | Network > Interfaces sayfasında, kullanıcılar TFTP sunucusu ayarını değiştiremez. Mesajla ”Bu seçenek düzgün çalışmayabilir. CLI kullanılarak zaten konfigüre edilmiştir: tftp-server. ” uyarısı alabilirsiniz. Bu uyarı mesajı DHCP Seçenekleri girişinin yanında çıkar. Geçici çözüm: CLI kullanın. |
748010 | GUI’den bir ZTNA kuralı düzenlemesi ya da oluşturulması sırasında, kullanıcılar Incoming Interface (Gelen Arayüz ) için herhangi bir arayüz seçemezler. Kullanıcılar yine de bu seçeneği CLI’de konfigüre edilebilir. |
748530 | Policy Route üzerinde 0.0.0.0 ağ geçidi kabul edilmez. |
749451 | Network > SD-WAN sayfasında, sys sdwan intf-sla-log tanılamanın RX ve TX değerleri 232-1’i geçtiğinde, grafiklerde görüntülenen gönderilen/alınan miktarı REST API’sinden sağlanan değerlerle eşleşmez. |
750490 | GUI’de yapılan firewall policy değişiklikleri, policydeki yedek ileti grubunu kaldırır. |
755177 | Firmware’i 7.0.1’den 7.0.2’ye yükseltirken, GUI bunun geçerli upgrade yöntemi olmadığını söyleyen bir uyarı hatası verir. |
756420 | Bir bağlantı olduğunda FortiManager’a bağlantı kapalı olarak gösterilir. |
757130 | Upgrade işleminden sonra, GUI’de konfigüre edilen yeni ACME sertifikaları hazırlama ortamını kullanır. |
HA
Hata Kimliği | Açıklama |
---|---|
662978 | 10G arayüzüne sahip HA ikincil cihazda uzun süreli oturumlar sona erer. |
701367 | Birden çok sanal kümesi bulunan bir HA ortamında, System > HA, 1. sanal küme altında Çalışma Süresi, Oturumlar ve Verimlilik istatistiklerini görüntüler. Bu istatistikler tüm cihaz için geçerlidir. Diğer sanal kümeler için istatistikler görüntülenmez. |
729719 | Ha-direct ‘i etkinleştirirken, bazı geçersiz konfigürasyonlar sıfırlanmalı ve gizlenmelidir. |
730770 | HA senkronizasyonu çöktükten sonra, FGFM işlemi canlı tutma mesajı göndermeyi durdurur. |
732201 | Önceden konfigüre edilmiş VDOM’de VDOM geri yüklemesi, bazen ilk cihazda yüksek CPU’ya neden olur. |
738934 | HA yük devretme üzerine VWP arabiriminde hiçbir GARP gönderilmez ve bu yük devretme süresinin uzamasına neden olur. |
740933 | Yerel sertifika yüklenirken HA senkronizasyondan çıkar. |
750004 | İkincil FortiGate, bir DHCP IP’sinin çakışmasından dolayı kaldırıldığını gösterir, ancak birincil FortiGate üzerinde kaldırılmaz. |
IPsec VPN
Hata Kimliği | Açıklama |
---|---|
715671 | EAP kimlik doğrulamalı VPN IKEv2 çevirmeli bağlantıda trafik başarısızdır. |
740475 | NP6’nın bağımsız olduğu platformlar için SA yanlış NP6’ya gittiğinden dolayı trafik IPsec VPN tüneli üzerinden gönderilemez. Etkilenen modeller: FG-2000E ve FG-2500E. |
740624 | FortiOS 7.0, çevirmeli VPN için yeni bir tasarımı bulunmaktadır. (Artık IPsec tünelinde route tree bulunmmaktadır.), bu yüzden FortiOS 6.4.6’dan 7.0.1, 7.0.2 veya 7.0.3’e upgrade edildikten sonra çevirmeli IPsec VPN üzerinden trafik geçmeyebilir. Server trafiği istemciye geri yönlendirmek için dinamik tünel arabirimi üzerinden statik yoldan yanıt verir. Geçici çözüm: src-subnet istemci 2. aşama arabiriminde konfigüre edin. Sonra, server tarafında IKE tarafından statik yollar eklenir (yol ekleme etkinleştirmesi gereklidir). Konfigürasyon kodu;config vpn ipsec phase2-interface edit <name> set src-subnet <x.x.x.x/x> next end |
Log ve Rapor
Hata Kimliği | Açıklama |
---|---|
747854 | Daire çizerken ve SQL sonucunda yalnızca bir giriş olduğunda HPDF hatası nedeniyle PDF raporu oluşturma işlemi başarısız olur. |
Proxy
Hata Kimliği | Açıklama |
---|---|
712584 | WAD bellek sızıntısı, cihazın koruma modunu devreye sokar. |
735893 | Chrome 92 güncellemesiyle birlikte, 5.00246, 6.00099 veya 7.00034’ten daha eski bir IPS motoru çalıştıran FOS 6.2, 6.4 veya 7.0’da kullanıcılar, UTM uygulanması yüzünden proxy modunda belirli web sitelerine erişimleri kapanır. Akış modunda sorunsuz çalışmaya devam eder.. |
758122 | WAD belleği, büyük bir dosyanın indirilmesi başarısız olduğunda, FortiGate’in koruma moduna girmesine neden olabilir. |
Security Fabric
Hata Kimliği | Açıklama |
---|---|
614691 | 50’den fazla aşağı akış cihazıyla büyük Fabric topolojisinde GUI performansı yavaşlar. |
748389 | Security Fabric otomasyon e-posta tetikleyicisi, birden çok e-postayı, adresler arasında ayrım olmadan tek bir e-posta olarak gösterir. |
753056 | Failed Login Attempts (Başarısız Giriş Denemeleri) tavsiye edilen bilgi, güvenlik derecelendirme kuralının kilitleme süresi 1800 dakika yerine en az 30 dakika olmalıdır. |
753358 | FortiDeceptor Fabric olayıyla otomasyon tetikleyicisi tetiklenmemektedir. |
755187 | Kullanılmayan Policyler için güvenlik derecelendirmesi testi, yapılması kabul edildiğinde birlikte kullanılmayan policyler olduğunda Başarılı olarak değerlendirerek hata verir. |
SSL VPN
Hata Kimliği | Açıklama |
---|---|
737894 | Bir SSL VPN policysinde herhangi bir kullanıcı veya grup yoksa, bir FQDN firewall policysinde, hedef adres olduğunda SSL VPN arka plan programı çökebilir. |
753515 | DTLS, SSL VPN için çalışmaz ve TLS’ye geçer. |
Switch Controller
Hata Kimliği | Açıklama |
---|---|
740661 | FortiGate, aşırı konfigürasyon zorlamalarından dolayı FortiSwitch yönetim erişimini kaybeder. |
Sistem
Hata Kimliği | Açıklama |
---|---|
572847 | wan1, wan2 ve dmz arabirimleri, 60F serisinde hardware switchin üyesi olarak konfigüre edilmemelidir. Wan arabirimi, 40F serisinde hardware switchin üyesi olarak konfigüre edilmemelidir. |
596942 | SoC3 platformları, bir PKCE IOCTL bekleme modundayken WAD tanılama CLI komutları tarafından kesintiye uğrarsa kernel paniği oluşabilir. |
639861 | FG-3400E ve FG-3600E için 10G, 25G, 40G ve 100G arayüzleri üzerinde FEC (forward error correction, ileri hata düzeltme) uygulamalarını destekleyin. |
644782 | Fazla sayıda cihaz algılandığında, httpsd’nin kaynakları bitirmesine ve düşük kaliteli cihazların koruma moduna girmesine neden olur. |
675558 | 1G bakırdan yapılmış SFP’li SFP bağlantı noktası her zaman açıktır. |
679035 | NP6 düştüğünde ve bant genişliği npu-vlink olduğunda 10 Gbps’nin altında sınırlıdır. |
681322 | Policy üzerindeki hizmet bu bağlantı noktasını içermese de, authd tarafından TCP 8008’e izin verilir. |
683299 | Bağlantı noktası grubu üyeleri, CLI komut dosyası kullanılarak değiştirildikten sonra bağlantı noktası hızları farklı olur. |
685674 | FortiGate, yedekleme konfigürasyonunu geri yükledikten sonra yeniden başlamamaktadır. |
699152 | FG-1100E, FG-1101E, FG-2200E, FG-2201E, FG-3300E, FG-3301E, FG-3600E ve FG-3601E modelleri üzerinde QinQ (802.1ad) desteği gerekir. |
716341 | Hız 10G’ye ayarlandığında SFP28 bağlantı noktası çarpışır. |
741359 | IEEE 802.3 uyarınca, 64 sekizli altındaki NP çerçeveleri RX’te atılmalıdır. |
755953 | FortiManager’ın doğrudan CLI komut dosyası, bitmesi nedeniyle sondaki hata ayıklama crashlog okuması tespiti başarısız olur. |
756713 | Statik modda LAG arabiriminde paket kaybı bulunan modeller: FG-110xE, FG-220xE ve FG-330xE. |
Kullanıcı doğrulama
Hata Kimliği | Açıklama |
---|---|
750551 | DST_Root_CA_X3 sertifikasının süresi bitti. Çözüm : Daha fazla bilgi almak için Fortinet PSIRT bloğuna bakabilirsiniz. |
756763 | E-posta toplama kısıtlama portalında bir kullanıcı, şartları ve sorumluluk reddi sözleşmesi için onay tuşunu tıklamadan Continue tuşuna tıklayabilir. |
757883 | FortiGate, root CA’nın çapraz imzalı ara CA’sı geçerli olsa da, süresi dolmuş root CA’yı engeller. |
765136 | NSX-T ile FortiGate ve FortiManager arasında bağlantı olmadığında dinamik objects temizlenir. |
VM
Hata Kimliği | Açıklama |
---|---|
689047 | ARM64-KVM’de kernel paniği mevcuttur. |
691337 | 6.4.7 sürümünden 7.0.2’ye upgrade işlemi yapılırken, gcp-project-list konfigürasyonu bulunan GCP SDN bağlayıcı girişleri kaybolur. |
WAN Optimizasyonu
Hata Kimliği | Açıklama |
---|---|
728861 | Wanopt manuel moda ayarlanıp, harici bir proxy kullanıldığında HTTP/HTTPS trafiği geçemez.Geçici Çözüm: wanopt ‘u otomatik moda alın veya wanopt profilinde transparent disable modunda bırakmaya ayarlayın. |
754378 | Server tarafında FortiGate üzerinde bir WANOpt proxy policysi ile AV profili etkinleştirildiğinde, HTTPS üzerinden gönderilen EICAR blocklanmaz. |
WiFi Controller
Hata Kimliği | Açıklama |
---|---|
578440 | Kablosuz denetleyici, FortiGate’e yönlendirilen ARP isteklerini tüm tünel arayüzlerine geri göndermektedir. |
600257 | FG-1000D ve FG-1500D, wpad ve cw_acd’de wireless kullanıcı tüneli trafiğini etkileyen bellek artışı olduğunda koruma moduna geçer. |
675164 | FWF-60F yerel radyo, WPA3’ün desteklenmediğini göstermektedir. |
726266 | GUI, yanlış bir WTP girişi ile FWF-60E’de yanıt vermiyor. |
727301 | FortiAP ve FortiSwitch’in arkasındaki host bilgisayarlar karantinaya alınamıyor. |
744687 | İstemci, en üste yeniden sıralanırsa, yeni NAC policysi ile eşleşmelidir. |
745044 | Büyük ölçekli 802.11r hızlı BSS geçiş dağıtımı için WiFi controller üzerindeki wpad bekletici programının bellek kullanımını optimize edin. |
748479 | cw_acd, 11 sinyaliyle kilitleniyor. AP’lerin bağlantısının kesiliyor veya yeniden katılmasına neden oluyor. |
750425 | RADIUS MAC kimlik doğrulamasında, FortiGate NAS IP adresi, FortiGate adresini kullandıktan sonra 0.0.0.0’a dönecektir. |
751509 | FAP-U432F’de, FortiGate GUI’de Radio 3 spektrum analizi devre dışı bırakılmalıdır. |