Fortinet複数製品に影響する脆弱性について
- Advisory ID(アドバイザリID): 様々(例:FG-IR-23-151, FG-IR-22-396)
- CVSSv3 Range(CVSSv3スコア範囲): 各脆弱性により異なる(例:2.1から9.8)
- Issue Date(発行日): 様々(例:2023年6月12日から2023年11月14日)
- Updated On(更新日): 発行日と同じ
- CVE(s)(CVE番号): 複数(例:CVE-2023-36641, CVE-2023-28002)
概要 (Synopsis)
Fortinetは、FortiClient、FortiGate、FortiSIEMの脆弱性に対するアドバイザリを発行しました。これらの脆弱性は重大度や影響が異なり、無許可アクセス、データ漏洩、サービス妨害などの潜在的な結果を引き起こす可能性があります。
影響を受ける製品 (Impacted Products)
- FortiClient(バージョン:6.0.x, 6.2.x, 6.4.0から6.4.8, 7.0.0から7.0.7, 7.0.9, 7.2.0から7.2.1)
- FortiGate(バージョン:7.4.0から7.4.1, 7.2.0から7.2.6, 7.0.1から7.0.13)
- FortiSIEM(バージョン:7.0.0およびそれ以前)
脆弱性の詳細 (Vulnerability Details)
- CVE-2023-38545: ヒープベースのバッファオーバーフロー、CVSSv3スコア9.8、libcurlおよびcurlに影響。
- CVE-2023-38546: Cookieの検証および整合性チェックなしの依存、CVSSv3スコア3.7、curlパッケージに影響。
- CVE-2023-41840: 信頼されていない検索パス、CVSSv3スコア7.8、FortiClient Windowsに影響。
- CVE-2022-40681: 誤った認証、CVSSv3スコア7.1、FortiClient Windowsに影響。
- CVE-2023-36553: OSコマンドの特殊要素の不適切な中和、CVSSv3スコア9.3、FortiSIEMに影響。
- CVE-2023-41676: 認証されていないアクターへの機密情報の露出、CVSSv3スコア4.2、FortiSIEMに影響。
- CVE-2023-45585: ログファイルへの機密情報の挿入、CVSSv3スコア2.1、FortiSIEMに影響。
対処法 (Resolution)
Fortinetは、対象の脆弱性に対するアップデートおよびパッチを提供しています。
ユーザーと管理者には、アドバイザリを確認し、推奨されるアップデートを適用することが勧められます。
ワークアラウンド (Workarounds)
アドバイザリでは、具体的な回避策は特に言及されていません。
代わりに、提供されたアップデートを適用する重要性が強調されています。
レスポンスマトリックス (Response Matrix)
Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。