Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性が公表されました。

これらの製品において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。

本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。

今後被害が拡大する可能性があるため、早急に対策を実施してください。

影響を受けるシステム

--- 2023年 6 月 14 日更新 ---

• FortiOS バージョン 7.2.0 から 7.2.4
• FortiOS バージョン 7.0.0 から 7.0.11
• FortiOS バージョン 6.4.0 から 6.4.12
• FortiOS バージョン 6.2.0 から 6.2.13
• FortiOS バージョン 6.0.0 から 6.0.16
• FortiProxy バージョン 7.2.0 から 7.2.3
• FortiProxy バージョン 7.0.0 から 7.0.9
• FortiProxy バージョン 2.0.0 から 2.0.12
• FortiProxy 1.2 系の全てのバージョン
• FortiProxy 1.1 系の全てのバージョン
• FortiOS-6K7K バージョン 7.0.10
• FortiOS-6K7K バージョン 7.0.5
• FortiOS-6K7K バージョン 6.4.12
• FortiOS-6K7K バージョン 6.4.10
• FortiOS-6K7K バージョン 6.4.8
• FortiOS-6K7K バージョン 6.4.6
• FortiOS-6K7K バージョン 6.4.2
• FortiOS-6K7K バージョン 6.2.9 から 6.2.13
• FortiOS-6K7K バージョン 6.2.6 から 6.2.7
• FortiOS-6K7K バージョン 6.2.4
• FortiOS-6K7K バージョン 6.0.12 から 6.0.16
• FortiOS-6K7K バージョン 6.0.10

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
--- 2023年 6 月 14 日更新 ---

• FortiOS バージョン 7.4.0 あるいはそれ以降
• FortiOS バージョン 7.2.5 あるいはそれ以降
• FortiOS バージョン 7.0.12 あるいはそれ以降
• FortiOS バージョン 6.4.13 あるいはそれ以降
• FortiOS バージョン 6.2.14 あるいはそれ以降
• FortiOS バージョン 6.0.17 あるいはそれ以降
• FortiProxy バージョン 7.2.4 あるいはそれ以降
• FortiProxy バージョン 7.0.10 あるいはそれ以降
• FortiOS-6K7K バージョン 7.0.12 あるいはそれ以降
• FortiOS-6K7K バージョン 6.4.13 あるいはそれ以降
• FortiOS-6K7K バージョン 6.2.15 あるいはそれ以降
• FortiOS-6K7K バージョン 6.0.17 あるいはそれ以降

2.脆弱性の暫定的な回避策

--- 2023年 6 月 14 日更新 ---
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

• SSL-VPN を無効にする