Fortinet複数製品に影響する脆弱性について

• Advisory ID（アドバイザリID）: 様々（例：FG-IR-23-151, FG-IR-22-396）
• CVSSv3 Range（CVSSv3スコア範囲）: 各脆弱性により異なる（例：2.1から9.8）
• Issue Date（発行日）: 様々（例：2023年6月12日から2023年11月14日）
• Updated On（更新日）: 発行日と同じ
• CVE(s)（CVE番号）: 複数（例：CVE-2023-36641, CVE-2023-28002）

概要 (Synopsis)

Fortinetは、FortiClient、FortiGate、FortiSIEMの脆弱性に対するアドバイザリを発行しました。これらの脆弱性は重大度や影響が異なり、無許可アクセス、データ漏洩、サービス妨害などの潜在的な結果を引き起こす可能性があります。

影響を受ける製品 (Impacted Products)

• FortiClient（バージョン：6.0.x, 6.2.x, 6.4.0から6.4.8, 7.0.0から7.0.7, 7.0.9, 7.2.0から7.2.1）
• FortiGate（バージョン：7.4.0から7.4.1, 7.2.0から7.2.6, 7.0.1から7.0.13）
• FortiSIEM（バージョン：7.0.0およびそれ以前）

脆弱性の詳細 (Vulnerability Details)

• CVE-2023-38545: ヒープベースのバッファオーバーフロー、CVSSv3スコア9.8、libcurlおよびcurlに影響。
• CVE-2023-38546: Cookieの検証および整合性チェックなしの依存、CVSSv3スコア3.7、curlパッケージに影響。
• CVE-2023-41840: 信頼されていない検索パス、CVSSv3スコア7.8、FortiClient Windowsに影響。
• CVE-2022-40681: 誤った認証、CVSSv3スコア7.1、FortiClient Windowsに影響。
• CVE-2023-36553: OSコマンドの特殊要素の不適切な中和、CVSSv3スコア9.3、FortiSIEMに影響。
• CVE-2023-41676: 認証されていないアクターへの機密情報の露出、CVSSv3スコア4.2、FortiSIEMに影響。
• CVE-2023-45585: ログファイルへの機密情報の挿入、CVSSv3スコア2.1、FortiSIEMに影響。

対処法 (Resolution)

Fortinetは、対象の脆弱性に対するアップデートおよびパッチを提供しています。
ユーザーと管理者には、アドバイザリを確認し、推奨されるアップデートを適用することが勧められます。

ワークアラウンド (Workarounds)

アドバイザリでは、具体的な回避策は特に言及されていません。
代わりに、提供されたアップデートを適用する重要性が強調されています。

レスポンスマトリックス (Response Matrix)

Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。

関連リンク:https://www.fortiguard.com/psirt