Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も
Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-25610」が判明している。
同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は1件。2番目に高い「高(High)」とされる脆弱性が5件、続く「中(Medium)」が8件、「低(Low)」が1件となっている。
「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。
重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。
そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。
CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611
(Security NEXT - 2023/03/09 )
ツイート
PR
関連記事
マンション管理業務主任者登録の申請書類が所在不明に - 国交省
個人情報含む伝票綴りを紛失、誤廃棄の可能性 - JAおきなわ
中学校で卒業生の個人情報が生徒用端末から閲覧可能に - 半田市
MS、6月の月例パッチを公開 - ゼロデイ脆弱性などへ対応
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートで修正
「FortiOS」に複数脆弱性 - 権限の昇格やセッション管理不備など修正
「Chrome」に複数脆弱性 - セキュリティアップデートで解消
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
ATM取引情報が保存された外部記録媒体を紛失 - 苫小牧信金
県営住宅家賃滞納者情報含む一部督促状を誤送付 - 神奈川県
