ニュース
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処を:セキュリティニュースアラート
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。
Fortinetは2024年5月14日(現地時間)、「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱(ぜいじゃく)性が見つかったと報告した。影響を受ける製品を使用している場合は早急なアップデートが必要となる。
Fortinetのトンネルモードに重大な脆弱性 急ぎアップデートを
「FG-IR-23-225」として識別されたこの欠陥が悪用された場合、特別に細工したパケットが送信され、IPアドレスを偽装してセキュリティ制御を回避する可能性がある。この問題は、FortiOSおよびFortiProxyの複数のバージョンに影響することが報告されている。
脆弱性の影響を受けるバージョンは以下の通りだ。
- FortiOS 7.4(7.4.0 ~ 7.4.1)
- FortiOS 7.2(7.2.0 ~ 7.2.7)
- FortiOS 7.0(7.0.0 ~ 7.0.12)
- FortiOS 6.4(全てのバージョン)
- FortiOS 6.2(全てのバージョン)
- FortiProxy 7.4(7.4.0 ~ 7.4.1)
- FortiProxy 7.2(7.2.0 ~ 7.2.7)
- FortiProxy 7.0(7.0.0 ~ 7.0.13)
- FortiProxy 2.0(全てのバージョン)
脆弱性が修正されたバージョンは以下の通りだ。
- FortiOS 7.4.2およびこれ以降のバージョン
- FortiOS 7.2.8およびこれ以降のバージョン
- FortiOS 7.0.13およびこれ以降のバージョン
- FortiProxy 7.4.2およびこれ以降のバージョン
- FortiProxy 7.2.8およびこれ以降のバージョン
- FortiProxy 7.0.14およびこれ以降のバージョン
FortiOS 6.4および6.2、FortiProxy 2.0を使用している場合は脆弱性が修正されたバージョンへの移行が望ましい。
この脆弱性への対処法は提供されていないため、該当製品を使用している場合は問題が修正されたバージョンに速やかにアップデートすることが推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
Gartnerの調査によると、全世界の組織のほぼ3分の2がゼロトラストセキュリティを構築しているが、構築後、5社に3社はコストが増加すると予測している。調査から、いいことばかりではないゼロトラストセキュリティの実態が明らかになった。
VMware、Workstation Pro 17とFusion Pro 13の個人利用を無償化 その狙いを探る
VMwareはWorkstation Pro 17とFusion Pro 13のライセンスモデルを変更し、個人利用は無償、商用利用は引き続きサブスクリプションプランが必要になると発表した。Workstation Player 17およびFusion Player 13の提供は終了となる。
Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
Tom's Hardwareは、Windows 11の次期バージョンでBitLockerがデフォルトで有効化されると報じた。この変更はクリーンインストールやシステムアップグレード時に適用され、ユーザーは必要に応じて無効化できる。
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。