日頃より弊社サービスをご利用いただき誠にありがとうございます。
Fortinet社より、脆弱性問題(CVE-2023-27997)が発表されております。
本脆弱性の影響を受けるバージョンをご利用のお客様については、以下の対策へのご対応をお願いいたします。
対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、弊社サポート窓口までご連絡をお願いいたします。
<脆弱性 CVE-2023-27997>
FortiOSおよびFortiProxy - sslvpn事前認証におけるヒープバッファオーバーフロー
■概要
FortiOS および FortiProxy SSL-VPN のヒープベースのバッファ オーバーフローの
脆弱性 [CWE-122] により、リモート攻撃者が特別に作成されたリクエストを介して
任意のコードまたはコマンドを実行できる可能性があります。
■影響
不正なコードまたはコマンドの実行
■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。
FortiOS バージョン 7.2.0 から 7.2.4
FortiOS バージョン 7.0.0 から 7.0.11
FortiOS バージョン 6.2.0から6.2.13
FortiOS バージョン 6.4.0 から 6.4.12
FortiOS バージョン 6.0.0 から 6.0.16
FortiOS-6K7K バージョン 7.0.10
FortiOS-6K7K バージョン 7.0.5
FortiOS-6K7K バージョン 6.4.12
FortiOS-6K7K バージョン 6.4.10
FortiOS-6K7K バージョン 6.4.8
FortiOS-6K7K バージョン 6.4.6
FortiOS-6K7K バージョン 6.4.2
FortiOS-6K7K バージョン 6.2.9 から 6.2.13
FortiOS-6K7K バージョン 6.2.6 から 6.2.7
FortiOS-6K7K バージョン 6.2.4
FortiOS-6K7K バージョン 6.0.12 から 6.0.16
FortiOS-6K7K バージョン 6.0.10
FortiProxy バージョン 7.2.0 から 7.2.3
FortiProxy バージョン 7.0.0 から 7.0.9
FortiProxy バージョン 2.0.0 から 2.0.12
FortiProxy 1.2 系の全てのバージョン
FortiProxy 1.1 系の全てのバージョン
■暫定の対処方法
SSLVPN無効
■恒久の対処方法
修正済みバージョンへのバージョンアップを実施お願いいたします。
FortiOS バージョン7.4.0以上にアップグレード
FortiOS バージョン7.2.5以上にアップグレード
FortiOS バージョン7.0.12以上にアップグレード
FortiOS バージョン6.4.13以上にアップグレード
FortiOS バージョン6.2.14以上にアップグレード
FortiOS バージョン6.0.17以上にアップグレード
FortiOS-6K7K バージョン7.0.12以上にアップグレード
FortiOS-6K7K バージョン6.4.13以上にアップグレード
FortiOS-6K7K バージョン6.2.15以上にアップグレード
FortiOS-6K7K バージョン6.0.17以上にアップグレード
FortiProxy バージョン7.2.4以上にアップグレード
FortiProxy バージョン7.0.10以上にアップグレード
また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。
■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-23-097