概要
Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性が公表されました。
これらの製品において、ヒープベースのバッファアンダーフローの脆弱性が確認されています。
本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードを実行されたり、サービス運用妨害(DoS)を受けたりする可能性があります。
今後被害が拡大する可能性があるため、早急に対策を実施してください。
影響を受けるシステム
--- 2023年 3 月 22 日更新 ---
- FortiOS バージョン 7.2.0 から 7.2.3
- FortiOS バージョン 7.0.0 から 7.0.9
- FortiOS バージョン 6.4.0 から 6.4.11
- FortiOS バージョン 6.2.0 から 6.2.12
- FortiOS 6.0 系の全てのバージョン
- FortiProxy バージョン 7.2.0 から 7.2.2
- FortiProxy バージョン 7.0.0 から 7.0.8
- FortiProxy バージョン 2.0.0 から 2.0.12
- FortiProxy 1.2 系の全てのバージョン
- FortiProxy 1.1 系の全てのバージョン
- FortiOS-6K7K バージョン 7.0.5
- FortiOS-6K7K バージョン 6.4.10
- FortiOS-6K7K バージョン 6.4.8
- FortiOS-6K7K バージョン 6.4.6
- FortiOS-6K7K バージョン 6.4.2
- FortiOS-6K7K バージョン 6.2.9 から 6.2.12
- FortiOS-6K7K バージョン 6.2.6 から 6.2.7
- FortiOS-6K7K バージョン 6.2.4
- FortiOS-6K7K 6.0 系の全てのバージョン
対策
1.脆弱性の解消 - 修正プログラムの適用
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。--- 2023年 3 月 22 日更新 ---
- FortiOS バージョン 7.4.0 あるいはそれ以降
- FortiOS バージョン 7.2.4 あるいはそれ以降
- FortiOS バージョン 7.0.10 あるいはそれ以降
- FortiOS バージョン 6.4.12 あるいはそれ以降
- FortiOS バージョン 6.2.13 あるいはそれ以降
- FortiProxy バージョン 7.2.3 あるいはそれ以降
- FortiProxy バージョン 7.0.9 あるいはそれ以降
- FortiProxy バージョン 2.0.12 あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.10 あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.12 あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.13 あるいはそれ以降
2.脆弱性の暫定的な回避策
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。- HTTP/HTTPS 管理インターフェースを無効にする
- HTTP/HTTPS 管理インターフェースにアクセスできる IP アドレスを制限する
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
| 2023年3月22日 | 「影響を受けるシステム」および「対策」の内容を更新 |
|---|---|
| 2023年3月9日 | 掲載 |
