独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、Fortinet 製 FortiOS SSL VPN の脆弱性について発表した。影響を受けるシステムは以下の通り。
キヤノン製スモールオフィス向け複合機およびレーザービームプリンターに複数の境界外書き込みの脆弱性
FortiOS バージョン 7.4.0 から 7.4.2
FortiOS バージョン 7.2.0 から 7.2.6
FortiOS バージョン 7.0.0 から 7.0.13
FortiOS バージョン 6.4.0 から 6.4.14
FortiOS バージョン 6.2.0 から 6.2.15
FortiOS バージョン 6.0 系の全てのバージョン
Fortinet の FortiOS にはSSL VPN 機能にリモートからのコード実行の脆弱性が存在し、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性がある。
Fortinet では、アドバイザリにて本脆弱性に対して悪用の可能性を示唆している。
IPAとJPCERT/CCでは、Fortinet が提供する情報をもとに最新版へアップデートするよう呼びかけている。Fortinet では、本脆弱性を修正した下記のバージョンをリリースしている。
FortiOS バージョン 7.4.3 あるいはそれ以降
FortiOS バージョン 7.2.7 あるいはそれ以降
FortiOS バージョン 7.0.14 あるいはそれ以降
FortiOS バージョン 6.4.15 あるいはそれ以降
FortiOS バージョン 6.2.16 あるいはそれ以降
FortiOS バージョン 6.0 系は、修正リリースへの移行を推奨
なお Fortinet では、SSL-VPN を無効にすることで、本脆弱性の影響を軽減できるとしている。
