この記事は会員限定です。会員登録すると全てご覧いただけます。
Fortinetは2024年5月14日(現地時間)、「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱(ぜいじゃく)性が見つかったと報告した。影響を受ける製品を使用している場合は早急なアップデートが必要となる。
「FG-IR-23-225」として識別されたこの欠陥が悪用された場合、特別に細工したパケットが送信され、IPアドレスを偽装してセキュリティ制御を回避する可能性がある。この問題は、FortiOSおよびFortiProxyの複数のバージョンに影響することが報告されている。
脆弱性の影響を受けるバージョンは以下の通りだ。
- FortiOS 7.4(7.4.0 ~ 7.4.1)
- FortiOS 7.2(7.2.0 ~ 7.2.7)
- FortiOS 7.0(7.0.0 ~ 7.0.12)
- FortiOS 6.4(全てのバージョン)
- FortiOS 6.2(全てのバージョン)
- FortiProxy 7.4(7.4.0 ~ 7.4.1)
- FortiProxy 7.2(7.2.0 ~ 7.2.7)
- FortiProxy 7.0(7.0.0 ~ 7.0.13)
- FortiProxy 2.0(全てのバージョン)
脆弱性が修正されたバージョンは以下の通りだ。
- FortiOS 7.4.2およびこれ以降のバージョン
- FortiOS 7.2.8およびこれ以降のバージョン
- FortiOS 7.0.13およびこれ以降のバージョン
- FortiProxy 7.4.2およびこれ以降のバージョン
- FortiProxy 7.2.8およびこれ以降のバージョン
- FortiProxy 7.0.14およびこれ以降のバージョン
FortiOS 6.4および6.2、FortiProxy 2.0を使用している場合は脆弱性が修正されたバージョンへの移行が望ましい。
この脆弱性への対処法は提供されていないため、該当製品を使用している場合は問題が修正されたバージョンに速やかにアップデートすることが推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.