【概要】

Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性が公表されました。

これらの製品において、ヒープベースのバッファアンダーフローの脆弱性が確認されています。

本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードを実行されたり、サービス運用妨害(DoS)を受けたりする可能性があります。

今後被害が拡大する可能性があるため、早急に対策を実施してください。
影響を受けるシステム

    FortiOS バージョン 7.2.0 から 7.2.3
    FortiOS バージョン 7.0.0 から 7.0.9
    FortiOS バージョン 6.4.0 から 6.4.11
    FortiOS バージョン 6.2.0 から 6.2.12
    FortiOS 6.0 系の全てのバージョン
    FortiProxy バージョン 7.2.0 から 7.2.2
    FortiProxy バージョン 7.0.0 から 7.0.8
    FortiProxy バージョン 2.0.0 から 2.0.11
    FortiProxy 1.2 系の全てのバージョン
    FortiProxy 1.1 系の全てのバージョン

※ 上記バージョンを利用している場合でも、特定のハードウェアは任意のコード実行の影響を受けないとのことです。詳細はベンダページをご確認ください。

【対策】
1.脆弱性の解消 - 修正プログラムの適用
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。

    FortiOS バージョン 7.4.0 あるいはそれ以降
    FortiOS バージョン 7.2.4 あるいはそれ以降
    FortiOS バージョン 7.0.10 あるいはそれ以降
    FortiOS バージョン 6.4.12 あるいはそれ以降
    FortiOS バージョン 6.2.13 あるいはそれ以降
    FortiProxy バージョン 7.2.3 あるいはそれ以降
    FortiProxy バージョン 7.0.9 あるいはそれ以降
    FortiProxy バージョン 2.0.12 あるいはそれ以降
    FortiOS-6K7K バージョン 7.0.10 あるいはそれ以降
    FortiOS-6K7K バージョン 6.4.12 あるいはそれ以降
    FortiOS-6K7K バージョン 6.2.13 あるいはそれ以降

2.脆弱性の暫定的な回避策
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

    HTTP/HTTPS 管理インターフェースを無効にする
    HTTP/HTTPS 管理インターフェースにアクセスできる IP アドレスを制限する

【参考情報】

    FortiOS / FortiProxy - Heap buffer underflow in administrative interface別ウィンドウで開く

(出典：独立行政法人情報処理推進機構(IPA))