Fortinet、セキュリティアドバイザリ10件を公開
Fortinetは現地時間9月10日、セキュリティアドバイザリを公開し、同社複数製品における脆弱性を明らかにした。脆弱性を修正したバージョンへアップデートするよう求めている。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて、あらたに10件のセキュリティアドバイザリを公開したもの。
「FortiSOAR」「FortiClient」「FortiClientEMS」「FortiAnalyzer」「FortiManager」「FortiEDR Manager」「FortiSandbox」「FortiADC」などの脆弱性について明らかにした。同社ファイアウォール製品に搭載されている「FortiOS」に関するアドバイザリはなかった。
重要度を見ると、4段階中上から2番目にあたる「高(High)」とレーティングされたアドバイザリが1件。8件については、1段階低い「中(Medium)」としており、のこる1件を「低(Low)」とした。「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が「高(High)」とされた脆弱性は、「FortiSOAR」に判明した認証不備の脆弱性「CVE-2024-4863」。悪用には認証が必要となるが、細工したHTTPリクエストにより、管理者のパスワードに対してブルートフォース攻撃が可能になるという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されている。
(Security NEXT - 2024/09/11 )
ツイート
関連リンク
- Fortinet:Inadequate user validation and no brute force protection on change password requests
- Fortinet:Improper Neutralization of Special Elements used in a Command in DAS component
- Fortinet:FortiClient - Lack of client-side certificate validation in ZTNA service
- Fortinet:Multiple path traversal in administrative interface
- Fortinet:Cookie security policy bypass
- Fortinet:IDOR on download logs feature
- Fortinet:FortiClient(All) - Lack of client-side certificate validation using SAML SSO
- Fortinet:access to backend information and logs via RestAPI on shared environments
- Fortinet:Sensitive files disclosure in diagnostic logs download
- Fortinet:Unencrypted keychain permanent password
- フォーティネットジャパン
PR
関連記事
エプソン製プロジェクターに脆弱性 - 310機種に影響
国勢調査員が書類紛失、外部持出なしと説明 - 生駒市
県立校文化祭、事前登録者への案内メールで誤送信 - 埼玉県
KDDIとNEC、セキュリティ分野で合弁会社United Cyber Forceを設立
マルウェアの挙動をリアルタイム監視するOSSを公開 - JPCERT/CC
小学校児童の画像を含むカメラとメモリが所在不明 - 名古屋市
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
行政相談のメモを一時紛失、相談員宅で見つかる - 総務省
「バンダイCH」で個人情報流出の可能性 - ランサム被害は否定
動画配信「バンダイCH」が一時停止 - 「意図せぬ退会」発生
