Skip to content Skip to navigation Skip to footer

フォーティネット製品をお使いの皆様にご確認いただきたいこと

 

 

FortiOSのSSL-VPN機能におけるヒープベースのバッファーオーバーフローの脆弱性

フォーティネットは2022年12月12日(米国時間)、FortiOSのSSL-VPN機能に存在する脆弱性を公表しました。ここでは、FortiGate(FortiOS)およびFortiProxyのSSL-VPNに対するCriticalの脆弱性(CVE-2022-42475)について、アドバイザリーに基づいたご案内をいたします。

 

 

概要

FortiOSのSSL-VPN機能にヒープバッファオーバーフローの脆弱性があり、リモートの未認証の攻撃者が、任意のコードやコマンドを実行できる可能性があります。
フォーティネットでは、本脆弱性が悪用された攻撃の発生を認識しており、アドバイザリーをご参照の上、システムを直ちに検証することを推奨します。

 

 

  

  

 

影響を受けるOSバージョン

  • FortiOS 7.2.0 ~ 7.2.2
  • FortiOS 7.0.0 ~ 7.0.8
  • FortiOS 6.4.0 ~ 6.4.10
  • FortiOS 6.2.0 ~ 6.2.11
  • FortiOS 6.0.0 ~ 6.0.15
  • FortiOS 5.6.0 ~ 5.6.14
  • FortiOS 5.4.0 ~ 5.4.13
  • FortiOS 5.2.0 ~ 5.2.15
  • FortiOS 5.0.0 ~ 5.0.14
  • FortiGate 6000/7000シリーズ: FortiOS 7.0.0 ~ 7.0.7
  • FortiGate 6000/7000シリーズ: FortiOS 6.4.0 ~ 6.4.9
  • FortiGate 6000/7000シリーズ: FortiOS 6.2.0 ~ 6.2.11
  • FortiGate 6000/7000シリーズ: FortiOS 6.0.0 ~ 6.0.14
  • FortiProxy 7.2.0 ~ 7.2.1
  • FortiProxy 7.0.0 ~ 7.0.7
  • FortiProxy 2.0.0 ~ 2.0.11
  • FortiProxy 1.2.0 ~ 1.2.13
  • FortiProxy 1.1.0 ~ 1.1.6
  • FortiProxy 1.0.0 ~ 1.0.7

 

 

 

 

 

対処方法

1. 脆弱性の暫定的な回避策

SSL-VPN機能を無効にしてください。

 

2. 脆弱性の解消

製品に応じて最新バージョンへのアップグレードをしてください。

  

  • FortiOS 7.2.3以降
  • FortiOS 7.0.9以降
  • FortiOS 6.4.11以降
  • FortiOS 6.2.12以降
  • FortiOS 6.0.16以降
  • FortiGate 6000/7000シリーズ: FortiOS 7.0.8以降
  • FortiGate 6000/7000シリーズ: FortiOS 6.4.10以降
  • FortiGate 6000/7000シリーズ: FortiOS 6.2.12以降
  • FortiGate 6000/7000シリーズ: FortiOS 6.0.15以降
  • FortiProxy 7.2.2以降
  • FortiProxy 7.0.8以降
  • FortiProxy 2.0.12以降(近日リリース予定)


※ 最新の情報はアドバイザリーにてご確認ください。

 

  

 

関連情報

 

PSIRT アドバイザリー
FG-IR-22-398

最新情報、攻撃の可能性を示すログのサンプル、
ワークアラウンドの詳細については、こちらをご参照ください

 

フォーティネットブログ
 

CVE-2022-42475 に関するアップデートについては、
こちらをご参照ください