Fortinetの「SSL VPN」に深刻な脆弱性 - アップデートの実施を

Fortinet製品にOSとして搭載されている「FortiOS」などに、深刻な脆弱性が明らかとなった。アップデートが呼びかけられている。

現地時間6月12日にアドバイザリを公開し、「FortiOS」および「FortiProxy」の「SSL VPN」機能にヒープベースのバッファオーバーフローの脆弱性「CVE-2023-27997」が存在することを明らかにしたもの。外部より協調のもと報告を受けたという。

細工されたリクエストにより、リモートより任意のコードやコマンドを実行されるおそれがある。

同社は共通脆弱性評価システム「CVSSv3.1」において、同脆弱性のベーススコアを「9.8」とし、重要度を5段階中、もっとも高い「クリティカル（Critical）」とレーティングしている。

同社は、同脆弱性の影響を受けない「FortiOS 7.4.0」、あるいは脆弱性を修正した「FortiOS 7.2.5」「同7.0.12」「同6.4.13」「同6.2.14」「同6.0.17」、「FortiOS-6K7K 7.0.12」「同6.4.13」「同6.2.15」「同6.0.17」、「FortiProxy 7.2.4」「同7.0.10」「同2.0.13」および同バージョン以降へ更新するよう呼びかけている。

また同社は、「CVE-2023-27997」以外にも20件の脆弱性に関するアドバイザリを同日公開した。あわせて注意する必要がある。

（Security NEXT - 2023/06/13 ） ツイート

PR

関連記事

設定不備でシステム開発用サーバから顧客情報が流出 - 積水ハウス
DDoS攻撃が大幅減 - 一方で約147Gbps超の攻撃も
米当局、「ownCloud」など脆弱性2件の悪用に注意喚起
「Apache Tomcat」にリクエストスマグリングの脆弱性
職員が偽警告にだまされ電話、周囲が気づきLANを遮断 - 富士見市
委託先が患者情報を紛失、防犯カメラに誤廃棄時の映像 - 頴田病院
NEC製クラスタリングソフト「CLUSTERPRO X」に複数の脆弱性
サーバがランサム被害、内部に顧客情報 - 衣料雑貨卸販売会社
「MS Edge」もアップデート - 悪用済み脆弱性に対応
個情委、野辺地町に行政指導 - 管理不備や報告遅滞で