「FortiOS」のSSL VPN機能などに脆弱性 - アップデートがリリース

Fortinetは、現地時間5月3日にセキュリティアドバイザリをリリースし、9件の脆弱性を明らかにした。アップデートや回避策がアナウンスされている。

今回のアドバイザリでは、同社における5段階の評価において、もっとも高い「クリティカル（Critical）」とレーティングされた脆弱性はなかった。重要度が2番目に高い「高（High）」とされる脆弱性は「CVE-2023-22640」と「CVE-2023-27999」の2件。いずれも社内より報告を受けたものだという。

「CVE-2023-22640」は、「FortiOS」や「FortiProxy」の「SSL VPN」コンポーネントに明らかとなった脆弱性。域外のメモリに書き込み、細工したリクエストにより任意のコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」としており、同社はアップデートを提供するとともに、更新できない場合は「SSL VPN」の構成においてホストやMACアドレスのチェック機能、OSの特定バージョンにアクセスを制限する機能などを無効化する回避策を実施するよう求めている。

また「FortiADC」には、コマンドインジェクションの脆弱性「CVE-2023-27999」が判明した。悪用には認証が必要となるが、不正なコマンドの実行が可能になるとしている。CVSS基本値を「7.8」としており、アップデートを用意した。

（Security NEXT - 2023/05/08 ） ツイート

PR

関連記事

NVIDIAのGPU開発支援ツール「NVIDIA NSIGHT Graphics」に脆弱性
Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応
奨学金貸付関連の個人情報含む書類が所在不明 - 茂原市
「Firefox 147」を公開、脆弱性16件を修正 - 「クリティカル」も
米当局、悪用が確認されたWindows「DWM」の脆弱性に注意喚起
笹だんご通販サイトの不正アクセス - 影響範囲が判明
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正