Fortinet製品におけるラピッドリセット HTTP/2 の脆弱性
概要
- 発行日:2024-10-12
- 該当CVE ID:CVE-2023-44487
- CvSSv3スコア:5.3 (Medium)
脆弱性の概要
- CVE-2023-44487
HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームがすぐにリセットされるため、サービス拒否 (サーバー リソースの消費) が発生する可能性。
影響を受ける製品
- FortiOS 7.4 7.4.0 ~ 7.4.1
- FortiOS 7.2 7.2.0 ~ 7.2.7
- FortiOS 7.0 7.0.0 ~ 7.0.13
- FortiProxy 7.4 7.4.0 ~ 7.4.1
- FortiProxy 7.2 7.2.0 ~ 7.2.7
- FortiProxy 7.0 全てのVersion
対処法
- 上記各製品の該当するVersion以上の物にアップグレード。
ワークアラウンド(回避策)
- SSL 検査によるプロキシ モードでの HTTP/2 サポートの削除
レスポンスマトリックス
Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。