【CVE番号】
CVE-2024-21762
【重要度】
Critical
【対象機器/バージョン】
FortiGate、FortiWIFI
ver.7.4.0 ~ 7.4.2
ver.7.2.0 ~ 7.2.6
ver.7.0.0 ~ 7.0.13
ver.6.4.0 ~ 6.4.14
ver.6.2.0 ~ 6.2.15
ver.6.0 全てのバージョン
FortiProxy (2/13追加)
ver.7.4.0 ~ 7.4.2
ver.7.2.0 ~ 7.2.8
ver.7.0.0 ~ 7.0.14
ver.2.0.0 ~ 2.0.13
ver.1.2 全てのバージョン
ver.1.1 全てのバージョン
ver.1.0 全てのバージョン
【影響】
FortiOS の境界外書き込みの脆弱性により、リモートの認証されていない攻撃者が特別に細工された
HTTPリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。
ワークアラウンド
SSL-VPNを無効にします。
(Web モードを無効にすることは有効な回避策ではありません)
注: これは実際に悪用される可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
FortiGate、FortiWIFI
ver.7.4.3 以降
ver.7.2.7 以降
ver.7.0.14 以降
ver.6.4.15 以降
ver.6.2.16 以降
全てのファームウェアは現在リリース検証中です。
ファームウェアをご要望のお客様はお問合せください。
FortiProxy (2/13追加)
ver.7.4.3 以降
ver.7.2.9 以降
ver.7.0.15 以降
ver.2.0.14 以降
ver.7.2.9、ver.7.0.15はメーカーからリリースされました(2/13時点)
本内容は2024年2月13日9:00時点のものです。最新の情報は以下のリンク先にてご確認ください。
■FortiOS - Out-of-bound Write in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-24-015