FortiWeb Release Notes

VERSION 6.4.1
FORTINET DOCUMENT LIBRARY
https://docs.fortinet.com

FORTINET VIDEO GUIDE
https://video.fortinet.com

FORTINET BLOG
https://blog.fortinet.com

CUSTOMER SERVICE & SUPPORT
https://support.fortinet.com

FORTINET COOKBOOK
https://cookbook.fortinet.com

FORTINET TRAINING & CERTIFICATION PROGRAM
https://www.fortinet.com/support-and-training/training.html

NSE INSTITUTE
https://training.fortinet.com

FORTIGUARD CENTER
https://fortiguard.com/

END USER LICENSE AGREEMENT
https://www.fortinet.com/doc/legal/EULA.pdf

FEEDBACK
Email: techdocs@fortinet.com

September 3, 2021
FortiWeb 6.4.1 Release Notes
1st Edition
 3

TABLE OF CONTENTS

Introduction 4
What's new 5
Product Integration and Support 6
Upgrade instructions 8
Image checksums 8
Upgrading from previous releases 8
Repartitioning the hard disk 13
To use the special firmware image to repartition the operating system's disk 13
To repartition the operating system's disk without the special firmware image 14
Upgrading an HA cluster 15
Downgrading to a previous release 16
FortiWeb-VM license validation after upgrade from pre-5.4 version 16
Resolved issues 17
Known issues 19

FortiWeb Release Notes Fortinet Technologies, Inc.

Introduction 4

Introduction

This document provides information about new and enhanced features, installation instructions, resolved issues, and 
known issues for FortiWeb 6.4.1, build 1464.
FortiWeb is a web application firewall (WAF) that protects hosted web applications from attacks that target known and 
unknown exploits. Using multi-layered and correlated detection methods, FortiWeb defends applications from known 
vulnerabilities and zero-day threats. The Web Application Security Service from FortiGuard Labs uses information based 
on the latest application vulnerabilities, bots, suspicious URL and data patterns, and specialized heuristic detection 
engines to keep your applications safe. 
FortiWeb also offers a machine-learning function that enables it to automatically detect malicious web traffic. In addition 
to detecting known attacks, the feature can detect potential unknown zero-day attacks to provide real-time protection for 
web servers.  
FortiWeb allows you to configure these features:
 l Vulnerability scanning and patching
 l IP reputation, web application attack signatures, credential stuffing defense, anti-virus, and  FortiSandbox Cloud 
powered by FortiGuard
 l Real-time attack insights and reporting with advanced visual analytics tools
 l Integration with FortiGate and FortiSandbox for ATP detection
 l Behavioral attack detection
 l Advanced false positive and negative detection avoidance
FortiWeb hardware and virtual machine platforms are available for medium and large enterprises, as well as for service 
providers.
For additional documentation, please visit the FortiWeb documentation:
http://docs.fortinet.com/fortiweb/

FortiWeb Release Notes Fortinet Technologies, Inc.

What's new 5

What's new

New Hardware platforms
FortiWeb 2000F, 3000F, and 4000F are introduced in this release. 
Form Based Delegation
FortiWeb now supports Form Based Delegation to publish web servers including OWA/Exchange (2010/2016). In Site 
Publish rule, you can select HTML Form Authentication as the Client Authentication Method, then choose Form Based 
Delegation as the Authentication Delegation.
URL Redirection after Site Publish authentication
It's now allowed to specify a redirection URL in Site Publish rule to redirect users to the  URL after successfully 
authenticated.
SameSite attribute for Cookie Security
The SameSite attribute is supported in Cookie Security so that you can declare if your cookie should be restricted to a 
first-party or same-site context.
Maximum body cache increased
The maximum body cache size configured in System > Config > Advanced is increased from 4 MB to 10 MB.
Local certificate name length increased
Up to 192 characters are supported in the local certificate name.
Web Cache Improvements
When serving cached data to clients, FortiWeb now supports decompressing the data when it detects the client side 
does not support gzip.
HA Diff tool
HA Diff tool is introduced to compare the configuration difference between the primary and secondary nodes. 
Debug support for additional modules
You can now run diagnose debug application to diagnose problems for more modules including:
 l RBE/CAPTCHA (rbe)
 l User Tracking (user-tracking)
 l ADFS Proxy (adfsproxy)
 l Web Cache (web-cache)
 l Chunk Decoding (chunk-decode)
 l Compression/Decompression (compress-uncompress)
 l Acceleration (web-acceleration)

FortiWeb Release Notes Fortinet Technologies, Inc.

Product Integration and Support 6

Product Integration and Support

Supported Hardware:
 l FortiWeb 100D
 l FortiWeb 400C
 l FortiWeb 400D
 l FortiWeb 400E
 l FortiWeb 600D
 l FortiWeb 600E
 l FortiWeb 1000D
 l FortiWeb 1000E
 l FortiWeb 2000E
 l FortiWeb 3000D/3000DFsx
 l FortiWeb 3000E
 l FortiWeb 3010E
 l FortiWeb 4000D
 l FortiWeb 4000E
 l FortiWeb 100E
 l FortiWeb 2000F
 l FortiWeb 3000F
 l FortiWeb 4000F

Supported hypervisor versions:
 l VMware vSphere Hypervisor ESX/ESXi 4.0/4.1/5.0/5.1/5.5/6.0/6.5/6.7
 l Citrix XenServer 6.2/6.5/7.1
 l Open source Xen Project (Hypervisor) 4.9 and higher versions
 l Microsoft Hyper-V (version 6.2 or higher, running on Windows 8 or higher, or Windows Server 2012/2016/2019)
 l KVM (Linux kernel 2.6, 3.0, or 3.1)
 l OpenStack Queens 17.0.5
 l Docker Engine CE 18.09.1 or higher versions, and the equivalent Docker Engine EE versions; Ubuntu18.04.1 LTS 
or higher versions   
 l Nutanix AHV
FortiWeb is tested and proved to function well on the hypervisor versions listed above. Later hypervisor releases may 
work but have not been tested yet.
To ensure high performance, it's recommended to deploy FortiWeb-VM on the machine types with minimum 2 vCPUs, 
and memory size larger than 8 GB.
Supported cloud platforms:
 l AWS (Amazon Web Services)
 l Microsoft Azure
 l Google Cloud
 l OCI (Oracle Cloud Infrastructure)
 l Alibaba Cloud

FortiWeb Release Notes Fortinet Technologies, Inc.

Product Integration and Support 7

Supported web browsers:
 l Microsoft Edge 41
 l Mozilla Firefox version 59
 l Google Chrome version 65
Other web browsers may function correctly, but are not supported by Fortinet.
Build-in AV engine version: 6.00137

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 8

Upgrade instructions

Image checksums

To verify the integrity of the firmware file, use a checksum tool to compute the firmware file’s MD5 checksum. Compare it 
with the checksum indicated by Fortinet. If the checksums match, the file is intact.
MD5 checksums for software releases are available from Fortinet Customer Service & Support:
https://support.fortinet.com

To download the Customer Service & Support image checksum tool

After logging in to the website, in the menus at the top of the page, click Download, and then click Firmware Image 
Checksums.
Alternatively, near the bottom of the page, click the Firmware Image Checksums button. This button appears only if 
one or more of your devices has a current support contract. In the File Name field, enter the firmware image file name 
including its extension, then click Get Checksum Code.

Upgrading from previous releases

 l For FortiWeb-VM with a license purchased earlier than February 2019, you must upgrade 
to 6.3.4 or higher. Do not use a lower patch.
 l The VLAN, 802.3ad Aggregate, and Redundant interfaces are not supported anymore on 
FortiWeb-VMs deployed on public cloud platforms since 6.3.6. If you upgrade from 
versions earlier than that, these configurations will be removed. 

To upgrade from FortiWeb 6.4.0

Upgrade directly.

To upgrade from FortiWeb 6.3.x

Upgrade directly. 

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 9

To upgrade from FortiWeb 6.1.x and 6.2.x

Upgrade directly. 
The machine learning data will be lost after the upgrade as the database format is enhanced in 6.3.0. Machine Learning 
will automatically start collecting data again after the upgrade.

For FortiWeb-VM on docker platform, it's not supported to upgrade to 6.4.1 from versions 
earlier than 6.3.0. You need to install FortiWeb-VM 6.4.1 instead of upgrading to 6.4.1. For 
how to install, see FortiWeb-VM on docker.

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

To upgrade from FortiWeb 6.0 or 6.0.x

Upgrade directly. 
After the upgrade:
 l If you upgrade from 6.0, there might be database compatibility issue after the upgrade, because the MarisDB 
database version is upgraded to 10.3.8 since FortiWeb 6.0.2. 
 l Run get system status to check the Database Status. 
 l If it shows Available,  it means the database works well. If it shows Not Available, you need to run 
execute db rebuild to solve the database compatibility issue. Please note in HA mode running execute
db rebuild on primary appliance will take effect on all secondary appliances simultaneously.
 l If you upgrade from 6.0.1, it's not necessary to run execute db rebuild because the database format has 
already been enhanced in 6.0.1, so that it's compatible with the new database. 

The machine learning data will be lost after the upgrade as the database format is 
enhanced in 6.3.0. Machine Learning will automatically start collecting data again 
after the upgrade.

For FortiWeb-VM on docker platform, it's not supported to upgrade to 6.4.1 from versions 
earlier than 6.3.0. You need to install FortiWeb-VM 6.4.1 instead of upgrading to 6.4.1. For 
how to install, see FortiWeb-VM on docker.

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 10

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

To upgrade from FortiWeb 5.5.x, 5.6.x, 5.7.x, 5.8.x, or 5.9.x

Before the upgrade:
 l If you upgrade from  a version of FortiWeb previous to 5.9.0 on Azure platform, first change the addressing mode to 
DHCP in System > Network > Interface, then upgrade to FortiWeb 6.1.1, because FortiWeb on Azure platform 
has enforced the DHCP addressing mode since release 5.9.0. 
After the upgrade:
 l There might be database compatibility issue after the upgrade, because the MarisDB database version is upgraded 
to 10.3.8 since FortiWeb 6.0.2. 
 l Run get system status to check the Database Status. 
 l If it shows Available,  it means the database works well. If it shows Not Available, you need to run 
execute db rebuild to solve the database compatibility issue. Please note in HA mode, running execute
db rebuild on primary appliance will take effect on all secondary appliances simultaneously.

If you upgrade from a version of FortiWeb previous to 5.5.4, the upgrade process 
deletes any HTTP content routing policies that match X509 certificate content. You 
can re-create these policies using the new, enhanced X509 certificate settings.

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

To upgrade from FortiWeb 5.4.x

Before the upgrade:
 l Resize your FortiWeb hard disk partitions.  S
  ee Repartitioning the hard disk.
After the upgrade:
 l There might be database compatibility issue after the upgrade, because the MarisDB database version is upgraded 
to 10.3.8 since FortiWeb 6.0.2. 
 l Run get system status to check the Database Status. 
 l If it shows Available,  it means the database works well. If it shows Not Available, you need to run 
execute db rebuild to solve the database compatibility issue. Please note in HA mode, running execute
db rebuild on primary appliance will take effect on all secondary appliances simultaneously.

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 11

The upgrade process deletes any HTTP content routing policies that match X509 certificate 
content. You can re-create these policies using the new, enhanced X509 certificate settings.

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

To upgrade from FortiWeb 5.3.x

Before the upgrade:
 l Resize your FortiWeb hard disk partitions.  S
  ee Repartitioning the hard disk.
After the upgrade:
 l There might be database compatibility issue after the upgrade, because the MarisDB database version is upgraded 
to 10.3.8 since FortiWeb 6.0.2. 
 l Run get system status to check the Database Status. 
 l If it shows Available,  it means the database works well. If it shows Not Available, you need to run 
execute db rebuild to solve the database compatibility issue. Please note in HA mode, running execute
db rebuild on primary appliance will take effect on all secondary appliances simultaneously.

 l If you are upgrading FortiWeb-VM on a hypervisor other than VMware vSphere, see 
FortiWeb-VM license validation after upgrade from pre-5.4 version.
 l The upgrade process deletes any HTTP content routing policies that match X509 
certificate content. You can re-create these policies using the new, enhanced X509 
certificate settings.
 l If you upgrade from  a version of FortiWeb previous to 5.3.4 and your server policy 
configuration includes settings that customize an attack blocking or server unavailable 
error page, the upgrade deletes these server-based settings. The functionality is replaced 
by the global, default FortiWeb pages.
 l If you upgrade from a version of FortiWeb previous to 5.3.6, the upgrade process deletes 
any V-zone IP addresses, which are no longer required. This operation has no impact on 
routing or connectivity after the upgrade.

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 12

To upgrade from a version previous to FortiWeb 5.3

FWB5.3.exe is a Microsoft Windows executable script that automatically migrates your FortiWeb 5.2.x configuration 
settings to a 5.3.x configuration.
 1. If your version is 5.0.x or 5.1.x, upgrade to FortiWeb 5.2.x.
 2. Use System > Maintenance > Backup & Restore to back up your FortiWeb configuration. Fortinet recommends 
that you use the Backup entire configuration option.
Note: If you forget to back up the configuration before you upgrade to FortiWeb 5.3, you can use the Boot into 
alternate firmware option to downgrade to the previous version, and then backup its configuration. For details, see 
the  FortiWeb Administration Guide:
http://docs.fortinet.com/fortiweb/admin-guides
 3. To obtain the upgrade script, log in to the Fortinet Customer Service & Support website:
https://support.fortinet.com
In the menus at the top of the page, click Download, and then click Firmware Images.
 4. For product, select FortiWeb. Then, on the Download tab, navigate to the following folder:
/FortiWeb/v5.00/5.3/Upgrade_script/
 5. Download the .zip compressed archive (for example, FWB5.3Upgrade_v1.9.zip) to a location you can access 
from your Windows PC.
 6. In Windows, extract the .zip archive's contents, and then use a command line interface to execute the upgrade 
script.
For example, in the directory where the file FWB5.3Upgrade.exe and your backup configuration file are located, 
execute the following command:
FWB5.3Upgrade.exe -i YOUR_CONFIG_NAME.conf –o 5.3_new.conf
The script removes the Domain Server, Physical Server, Server Farm, Content Routing policy configurations and 
generates a new configuration file named 5.3_new.conf.
 7. Resize your FortiWeb hard disk partitions. See Repartitioning the hard disk.
 8. Upgrade to 6.3.9 first, then upgrade to 6.4.1.
 9. Use System > Maintenance > Backup & Restore to restore the configuration file you created using the script (for 
example, 5.3_new.conf).
 10. There might be database compatibility issue after the upgrade, because the MarisDB database version is upgraded 
to 10.3.8 since FortiWeb 6.0.2:
 l Run get system status to check the Database Status. 
 l If it shows Available,  it means the database works well. If it shows Not Available, you need to run execute
db rebuild to solve the database compatibility issue. Please note in HA mode, running execute db rebuild 
on primary appliance will take effect on all secondary appliances simultaneously.

 l If you are upgrading FortiWeb-VM on a hypervisor other than VMware vSphere, see 
FortiWeb-VM license validation after upgrade from pre-5.4 version.
 l The upgrade process deletes any HTTP content routing policies that match X509 
certificate content. You can re-create these policies using the new, enhanced X509 
certificate settings.
 l If your server policy configuration includes settings that customize an attack blocking or 
server unavailable error page, the upgrade deletes these server-based settings. The 
functionality is replaced by the global, default FortiWeb pages. 
 l The upgrade process deletes any V-zone IP addresses, which are no longer required. This 
operation has no impact on routing or connectivity after the upgrade.

FortiWeb Release Notes Fortinet Technologies, Inc.

 Upgrade instructions 13

The "Bad Robot" and "SQL Injection (Syntax Based Detection)" signatures had been 
integrated into WAF modules "Bot Mitigation > Known Bots"  and "SQL/XSS Syntax Based 
Detection" since 6.3.3. If you upgrade from a version earlier than 6.3.3, all settings of these 
two signatures will be merged to corresponding modules except the exception list. 
Make sure to add the exception list manually after the upgrade, otherwise certain traffic will 
be blocked unexpectedly because of the missing of the exception list.

Note: To upgrade from 4.0 MR4, Patch x or earlier, please contact Fortinet Technical Support.

Repartitioning the hard disk

To upgrade from a version of FortiWeb previous to 5.5, you must first resize your FortiWeb operating system's disk.
In most cases, you'll have to install a special firmware image to repartition the disk. For details, see To use the special 
firmware image to repartition the operating system's disk  on page 13.
For the following FortiWeb-VM tools, you cannot install the special firmware image to repartition the hard disk:
 l Citrix XenServer
 l Open-source Xen Project
 l Microsoft Hyper-V
 l KVM
For these platforms, to repartition the disk you must deploy a new virtual machine and restore the configuration and log 
data you backed up earlier. See To repartition the operating system's disk without the special firmware image on page 
14.

Repartitioning affects the operating system’s disk (USB/flash disk), not the hard disk. 
Existing data such as reports and event, traffic, and attack logs, which are on the 
hard disk, are not affected.

You can use this image to upgrade an HA cluster by following the same procedure 
you use for a regular firmware upgrade. For details, see "Updating firmware on an 
HA pair" in  the FortiWeb Administration Guide:
http://docs.fortinet.com/fortiweb/admin-guides

To use the special firmware image to repartition the operating system's disk 

 1. Perform a complete backup of your FortiWeb configuration.
Although the repartitioning firmware image automatically saves your FortiWeb configuration, Fortinet recommends 
that you also manually back it up. For details, see the FortiWeb Administration Guide:
http://docs.fortinet.com/fortiweb/admin-guides
 2. Contact Fortinet Technical Support to obtain the special repartitioning firmware image: special build 5.4.1, build 
6066.
 3. Follow one of the same procedures that you use to install or upgrade firmware using a standard image:

FortiWeb Release Notes Fortinet Technologies, Inc.

 Upgrade instructions 14

 l In the Web UI, go to System > Status > Status. Locate the System Information widget. Beside Firmware 
Version, click [Update].
 l In the Web UI, go to System > Maintenance > Backup & Restore. Select the Restore option in System 
Configuration.
 l In the CLI, enter the execute restore config command.
FortiWeb backs up the current configuration, resizes the hard drive partitions, and boots the system.
Continue with the instructions in Upgrading from previous releases on page 8.

To repartition the operating system's disk without the special firmware image

 1. Perform a complete backup of your FortiWeb configuration. For details, see the FortiWeb Administration Guide:

http://docs.fortinet.com/fortiweb/admin-guides
 2. Use the instructions for your hypervisor platform to detach the log disk from the VM:
 l To detach the log disk from a Citrix XenServer VM on page 14
 l To detach the log disk from a Microsoft Hyper-V VM on page 14
 l To detach the log disk from a KVM VM on page 14
 3. Deploy a new FortiWeb 5.5 or later virtual machine on the same platform.
 4. Use the instructions for your hypervisor platform to attach the log disk you detached earlier to the new VM:
 l To attach the log disk to a Citrix XenServer VM on page 15
 l To attach the log disk to a Microsoft Hyper-V VM on page 15
 l To attach the log disk to a KVM VM on page 15
 5. Restore the configuration you backed up earlier to the new VM.
 6. When you are sure that the new VM is working properly with the required configuration and log data, delete the old 
VM.

To detach the log disk from a Citrix XenServer VM

 1. In Citrix XenCenter, connect to the VM.
 2. In the settings for the VM, on the Storage tab, select Hard disk 2, and then click Properties.
 3. For Description, enter a new description, and then click OK.
 4. Select Hard disk 2 again, and then click Detach.
 5. Click Yes to confirm the detach task.

To detach the log disk from a Microsoft Hyper-V VM

 1. In the Hyper-V Manager, select the FortiWeb-VM in the list of machines, and then, under Actions, click Settings.
 2. Select Hard Drive (data.vhd), and then click Remove.
 3. Click Apply.

To detach the log disk from a KVM VM

 1. In Virtual Machine Manager, double-click the FortiWeb-VM in the list of machines.
 2. Click Show virtual hardware details (the "i" button).
 3. Click VirtIO Disk 2, and then click Remove.

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 15

To attach the log disk to a Citrix XenServer VM

 1. In Citrix XenCenter, connect to the VM.
 2. In the settings for the new, FortiWeb 5.5 or later VM, on the Storage tab, select Hard disk 2, and then click Delete.
 3. Click Yes to confirm the deletion.
 4. On the Storage tab, click Attach Disk.
 5. Navigate to the hard disk you detached from the old VM to attach it.
 6. Start your new virtual machine.

To attach the log disk to a Microsoft Hyper-V VM

 1. In the Hyper-V Manager, select the new, FortiWeb 5.5 or later virtual machine in the list of machines, and then, 
under Actions, click Settings.
 2. Select Hard Drive (log.vhd), and then click Browse.
 3. Browse to the hard drive you detached from the old virtual machine to select it.
 4. Click Apply.
 5. Start the new virtual machine.

To attach the log disk to a KVM VM

For KVM deployments, you remove an existing virtual disk from the new VM before you attach the disk detached from 
the original VM.
 1. In Virtual Machine Manager, double-click the new, FortiWeb 5.5 or later VM in the list of machines.
 2. Click Show virtual hardware details (the "i" button).
 3. Click VirtIO Disk 2, and then click Remove.
 4. Click Add Hardware.
 5. Click Storage, select Select managed or other existing storage, and then click Browse.
 6. Click Browse Local.
 7. Navigate to the log disk file for the original machine to select it, and then click Open.
 8. For Device type, select Virtio disk, for Storage format, select qcow2, and then click Finish.
 9. Start the new virtual machine.

Upgrading an HA cluster

If the HA cluster is running FortiWeb 4.0 MR4 or later, the HA cluster upgrade is streamlined. When you upgrade the 
active appliance, it automatically upgrades any standby appliance(s), too; no manual intervention is required to upgrade 
the other appliance(s).  This includes upgrading using the special hard disk repartitioning firmware image for upgrading to 
5.5 or later from earlier releases.
If the HA cluster is running FortiWeb 4.0 MR3 Patch x or earlier, contact Fortinet Technical Support for assistance. 

FortiWeb Release Notes Fortinet Technologies, Inc.

Upgrade instructions 16

Downgrading to a previous release

When you downgrade to version 5.1 or 5.0, the basic configuration for your appliance's connections to the network (e.g., 
IP address and route configuration) is preserved.
Please note that the machine learning data will be lost if you downgrade to versions lower than 6.2.0. It cannot be 
recovered because the database architecture is changed since 6.2.0.
 

FortiWeb-VM license validation after upgrade from pre-5.4 version

On some virtual machine deployments, upgrading FortiWeb-VM from a version previous to 5.4 changes the virtual 
machine's universal unique identifier (UUID). Because of this change, the first time you upload your existing FortiWeb-
VM license, the FortiGuard Distribution Network (FDN) server reports that it is invalid.
To solve this problem, after you have uploaded the license, wait 90 minutes, and then upload the license again.
This issue does not affect FortiWeb-VM deployed on a VMware vSphere hypervisor.

FortiWeb Release Notes Fortinet Technologies, Inc.

Resolved issues 17

Resolved issues

This section lists issues that have been fixed in version 6.4.1. For inquires about a particular bug, please contact Fortinet 
Customer Service & Support:
https://support.fortinet.com

Bug ID Description

0740477/0728936  vdom for letsencrypt is not supported when updating certificate status and 
logging event.

0739455/0739267 Components are missing in HSTS configuration, values incorrect and word 
usage wrong.

0738652 FortiWeb does not support the .mkv file type in file upload security. 

0738174 FortiWeb is not blocking SQL Injection and Extended SQL completely because it 
does not decode arg when request use multipart/form-data. 

0737678 The scheduled report wrongly shows logs that are not generated in the specified 
time period.

0737677 view alog from master GUI, Filter and Log Management work abnormal

0737453 Proxy crashes when the read API is used in the middle of the insert flag API 
operations to insert and set the flag, returning an nCfg_query error in the 
multithread code. 

0737286 If the URI of the redirect in HA > Topology is too long, the filters and attack logs 
may not show correctly  in the primary node's Web UI. 

0735456 MITB protection policy may cause failure on parameter validation policy.

0735337 ServerPolicy: some TCP parameter should be adjusted due to kernel change.

0735035 Uninitialized variable in Brotli uncompression function causing garbage data to 
be added to uncompressed page when a brotli compressed web resource of 1 
byte is sent. 

0732195 The configuration of signature category does not support ADD/DELETE 
operation.

0731745 CMDB crash occurs unexpectedly.

0730833 The system becomes unstable after the WSDL and XSD files are uploaded.

0730439 Unable to get any logs at all through GUI, and the CPU usage keeps at extreme 
value.

0728133 On docker platform, the Geo IP list shows null instead of countries.

0726891 Content Route entries display issue.

FortiWeb Release Notes Fortinet Technologies, Inc.

Resolved issues 18

Bug ID Description

0726697 PHP WebShell scripts are not detected

0726635 CPU reaches 100% when there are more than 64K opened connections from 
FortiWeb to a single backend server IP:port.

0724947 WAD UI loads slowly because disk calculating is disabled.

0724723 FortiWeb fails to load the CRL after import because CRL response with http 
header of "Transfer-encoding: chunked" is not supported.

0723868 "Internal Resource Limits : (Internal Logic Error)" occurs because parser can't 
handle head request with data when response includes 100-conitue.

0723742 Unable to configure Bot Mitigation policy in Offline Web Protection profiles.

0722302 Unable to access the secondary device in Active-Active HA mode because the 
API conf_init and conf_end have memory leak.

0721020 The ".svg" file uploads are blocked.

0719975 The time field in log doesn't reflect timezone setting.

0719623 High memory due to [Proxyd, ML, Mysqld].

0714929 The proxyd and kernel may crash due to core file error.

0711655 After upgrading to 6.4.0, the HA active-active standard mode is changed to 
active-active high volume mode on  cloud platforms.

0693896 Total HTTP transactions and throughput does not accurate.

0693822 Unable to view HA Topology after upgrade to 6.3.10.

0664998 The view/edit (eye) icon in Web UI is missing on multiple pages after upgrading 
to 6.3.6.

Common Vulnerabilities and Exposures
For more information, visit https://www.fortiguard.com/psirt.

Bug ID CVE reference

0743973 FortiWeb VERSION 6.4.1 is no longer vulnerable to the following CVE-Reference:
 CVE-2021-22122.

0742829/0742492 FortiWeb VERSION 6.4.1 is no longer vulnerable to the following CWE-
Reference: CWE-77.

0704204/0702594 FortiWeb VERSION 6.4.1 is no longer vulnerable to the following CWE-
Reference: CWE-79.

0702987  FortiWeb VERSION 6.4.1 is no longer vulnerable to the following CWE-
Reference: CWE-400.

0702593  FortiWeb VERSION 6.4.1 is no longer vulnerable to the following CWE-
Reference: CWE-121.

FortiWeb Release Notes Fortinet Technologies, Inc.

Known issues 19

Known issues

This section lists known issues in version 6.4.1, but may not be a complete list. For inquires about a particular bug, 
please contact Fortinet Customer Service & Support: https://support.fortinet.com

Bug ID Description

0744232 FortiWeb can't detect signature attack when websocket data is masked or 
compressed.

0744090 When setting down the offline data capture port, the error message "This interface 
is managed by DPDK..." displays, and the link status shows down.

0743982 Unable to display the settings of the report profile filter "Message(s)" if the value 
contains space characters.

0743946 Console prints error regularly when 4000F is in offline mode.

0743357 Crash may occur on the F-series without doing any operation.

0740577 Letsencrypt certificate status is failed when trying using it with SNI.

0740291 Websocket traffic is blocked unexpectedly.

0727693 Email Policy configuration can be viewed and edited by any Adom Administrator.

0689010 Many reports are stuck and are titled "undefined".

FortiWeb Release Notes Fortinet Technologies, Inc.

Copyright© 2021 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., in the
U.S. and other jurisdictions, and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be
trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and
other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding
commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s
General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such
event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be
limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. In no event does Fortinet make any commitment related to future deliverables, features or
development, and circumstances may change such that any forward-looking statements herein are not accurate. Fortinet disclaims in full any covenants, representations, and
guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most
current version of the publication shall be applicable.