「FortiOS」のVPN機能にあらたな脆弱性 - 既存アップデートで修正済み

「FortiOS」「FortiProxy」の「SSL VPN」機能にあらたな脆弱性「CVE-2023-33306」が明らかとなった。

Fortinetが現地時間6月16日にアドバイザリをリリースし、明らかにしたもの。同社では同月12日に「CVE-2023-27997」をはじめ、「FortiOS」に関する11件の脆弱性を公表しているが、異なる脆弱性としている。

NULLポインタデリファレンスの脆弱性で、悪用には認証が必要となるが細工したリクエストによって「SSL VPN」サービスがサービス拒否に陥るおそれがある。

同社は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.5」、重要度を5段階中、上から3番目にあたる「中（Medium）」とレーティングしている。

同脆弱性は、「同7.2.5」をはじめ、すでに提供されている「同7.0.11」や「同6.4.13」「FortiProxy 7.2.4」「同7.0.10」にて修正済みだという。また「FortiOS 7.4.0」は影響を受けない。

（Security NEXT - 2023/06/22 ） ツイート

PR

関連記事

CrowdStrikeによる障害、約850万台に影響 - あらたな復旧方法も準備中
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
「BIND 9」の脆弱性、関連機関がアップデートを強く推奨
オンラインショップ侵害され、詳細を調査 - 京都の料亭
顧客向けDMを一部紛失 - 京葉ガスサービスショップ運営会社
複数公民館でメール誤送信、宛先とBCCにメアド入力 - 神戸市
「Telerik Report Server」に深刻な脆弱性 - 最新版へ更新を
ランサム被害で取引先関連情報が流出した可能性 - シークス