情報公開で混乱招いた「FortiSIEM」の深刻な脆弱性 - PoCが公開に
同社によれば、論文執筆のために「CVE-2023-34992」のパッチについて調査したところ、「CVE-2024-23108」「CVE-2024-23109」を発見。2023年11月末にこれら脆弱性を同社へ報告したという。
これら脆弱性の公表にあたっては混乱も生じた。同社では、これら脆弱性について情報を公表することなく、1月中旬にリリースした「FortiSIEM 7.1.2」にてサイレント修正を実施。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」には、現地時間2月5日に追加されるも、当初同社からの詳細な情報はなく、「CVE-2023-34992」との関連があることを示すだけだった。
その後2023年10月に公開した「CVE-2023-34992」のアドバイザリや、リリースノートへ脆弱性の情報を追記する形で脆弱性の情報が公開されたが、あらたなアドバイザリとしてリリースすることはなかった。
「CVE-2023-34992」に関しては、2023年11月にも亜種として「CVE-2023-36553」が報告されており、修正されているが、個別にアドバイザリが公開されていた。
(Security NEXT - 2024/05/29 )
ツイート
PR
関連記事
申請関連書類が所在不明、オフィス転換工事後に判明 - 東京都
チャットアプリの従業員アカウントに不正アクセス - フィッシングに悪用
元従業員が個人情報を退職後にダウンロード - ユナイテッドアローズ
高校教員の個人情報含むメールを誤送信 - 香川県教委
文理学部の掲示板サイトが改ざん、外部サイトに誘導 - 日大
サーバがランサム被害、影響など詳細を調査 - 丸高興業
「セキュリティ10大脅威2026 」組織編の解説書を公開 - IPA
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Wing FTP Server」の脆弱性悪用を確認 - 米当局が注意喚起
システム設定不備で別事業者の売上精算書を誤送信 - 兵庫県
