Fortinet製品におけるラピッドリセット HTTP/2 の脆弱性

2024-10-15 最終更新日時 : 2024-10-15 Esune@dmin

概要

  • 発行日:2024-10-12
  • 該当CVE ID:CVE-2023-44487
  • CvSSv3スコア:5.3 (Medium)

脆弱性の概要

  • CVE-2023-44487
    HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームがすぐにリセットされるため、サービス拒否 (サーバー リソースの消費) が発生する可能性。

影響を受ける製品

  • FortiOS 7.4 7.4.0 ~ 7.4.1
  • FortiOS 7.2 7.2.0 ~ 7.2.7
  • FortiOS 7.0 7.0.0 ~ 7.0.13
  • FortiProxy 7.4 7.4.0 ~ 7.4.1
  • FortiProxy 7.2 7.2.0 ~ 7.2.7
  • FortiProxy 7.0 全てのVersion

対処法

  • 上記各製品の該当するVersion以上の物にアップグレード。

ワークアラウンド(回避策)

  • SSL 検査によるプロキシ モードでの HTTP/2 サポートの削除

レスポンスマトリックス

Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。

関連リンク:https://fortiguard.fortinet.com/psirt/FG-IR-23-397

カテゴリー
脆弱性情報
前の記事
FortiOSにおけるVM の起動時にルート ファイル システムの整合性チェックをバイパスする脆弱性についてNew!!
2024-10-15
次の記事
Fortinet製品におけるCurl および libcurl の CVE-2023-38545 および CVE-2023-38546 の脆弱性New!!
2024-10-15