この記事は会員限定です。会員登録すると全てご覧いただけます。
Fortinetは2023年7月11日(現地時間)、「FortiOS」と「FortiProxy」にスタックオーバーフローの脆弱(ぜいじゃく)性が存在すると報告した。
同脆弱性はCVE-2023-33308として特定されており、共通脆弱性評価システム(CVSS)v3スコアで9.8、深刻度「緊急」(Critical)に分類されている。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。
FortiOSとFortiProxyにスタックオーバーフローの脆弱性が見つかった(出典:FortinetのWebサイト)
脆弱性の影響を受けるバージョンは以下の通りだ。
- FortiOS 7.2.3
- FortiOS 7.2.2
- FortiOS 7.2.1
- FortiOS 7.2.0
- FortiOS 7.0.10
- FortiOS 7.0.9
- FortiOS 7.0.8
- FortiOS 7.0.7
- FortiOS 7.0.6
- FortiOS 7.0.5
- FortiOS 7.0.4
- FortiOS 7.0.3
- FortiOS 7.0.2
- FortiOS 7.0.1
- FortiOS 7.0.0
- FortiProxy 7.2.2
- FortiProxy 7.2.1
- FortiProxy 7.2.0
- FortiProxy 7.0.9
- FortiProxy 7.0.8
- FortiProxy 7.0.7
- FortiProxy 7.0.6
- FortiProxy 7.0.5
- FortiProxy 7.0.4
- FortiProxy 7.0.3
- FortiProxy 7.0.2
- FortiProxy 7.0.1
- FortiProxy 7.0.0
脆弱性が修正されたバージョンは以下の通りだ。
- FortiOS 7.4.0およびこれ以降のバージョン
- FortiOS 7.2.4およびこれ以降のバージョン
- FortiOS 7.0.11およびこれ以降のバージョン
- FortiProxy 7.2.3およびこれ以降のバージョン
- FortiProxy 7.0.10およびこれ以降のバージョン
また、以下のバージョンは同脆弱性の影響を受けないとされている。
- FortiOS 6.4系全てのバージョン
- FortiOS 6.2系全てのバージョン
- FortiOS 6.0系全てのバージョン
- FortiProxy 2.x系全てのバージョン
- FortiProxy 1.x系全てのバージョン
今回見つかった脆弱性は、前回のリリースでバグ修正の一環としてすでに修正されている。そのときにはセキュリティアドバイザリは割り当てられていない。Fortinetはしばしば脆弱性情報をアップデートの提供後に公開することがあり、今回もそうしたケースの一つとみられる。該当製品を使用している場合、直ちに内容を確認するとともに適切に対処してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.