-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2024-0004
                                                             JPCERT/CC
                                                     2024-02-09（公開）
                                                     2024-02-29（更新）

                 <<< JPCERT/CC Alert 2024-02-09 >>>

Fortinet製FortiOSの境域外書き込みの脆弱性（CVE-2024-21762）に関する注意喚起

            https://www.jpcert.or.jp/at/2024/at240004.html


I. 概要
2024年2月8日（現地時間）、FortinetはFortiOSおよびFortiProxyにおける境
域外書き込みの脆弱性（CVE-2024-21762）に関するアドバイザリ
（FG-IR-24-015）を公開しました。本脆弱性が悪用されると、認証されていな
い遠隔の第三者が、細工したHTTPリクエストを送信し、結果として任意のコー
ドまたはコマンドを実行する可能性があります。

Fortinetは、アドバイザリにて本脆弱性に対して悪用の可能性を示唆しています。
ただし、現時点（2024年2月15日）では影響範囲や対策についての情報のみです。
今後もFortinetが提供する最新の情報を確認し、対策や調査の実施を推奨します。

    Fortinet
    FortiOS/FortiProxy - Out-of-bound Write in sslvpnd
    https://www.fortiguard.com/psirt/FG-IR-24-015

** 更新: 2024年2月29日追記 ********************************************
「II. 対象」および「III. 対策」の対象となるシステムおよびバージョンにつ
いて、Fortinetの情報が更新されたため、情報を追記しました。6.0系の対象お
よび対策バージョンの情報を更新しています。詳細や最新の情報はFortinetが
提供する情報を参照ください。
***********************************************************************


II. 対象
対象となるシステムおよびバージョンは次のとおりです。

  - FortiOS 6.0.0から6.0.17まで
  - FortiOS 6.2.0から6.2.15まで
  - FortiOS 6.4.0から6.4.14まで
  - FortiOS 7.0.0から7.0.13まで
  - FortiOS 7.2.0から7.2.6まで
  - FortiOS 7.4.0から7.4.2まで
  - FortiProxy 1.0すべてのバージョン
  - FortiProxy 1.1すべてのバージョン
  - FortiProxy 1.2すべてのバージョン
  - FortiProxy 2.0.0から2.0.13まで
  - FortiProxy 7.0.0から7.0.14まで
  - FortiProxy 7.2.0から7.2.8まで
  - FortiProxy 7.4.0から7.4.2まで


III. 対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

  - FortiOS バージョン6.0.18あるいはそれ以降
  - FortiOS バージョン6.2.16あるいはそれ以降
  - FortiOS バージョン6.4.15あるいはそれ以降
  - FortiOS バージョン7.0.14あるいはそれ以降
  - FortiOS バージョン7.2.7あるいはそれ以降
  - FortiOS バージョン7.4.3あるいはそれ以降
  - FortiProxy バージョン2.0.14あるいはそれ以降
  - FortiProxy バージョン7.0.15あるいはそれ以降
  - FortiProxy バージョン7.2.9あるいはそれ以降
  - FortiProxy バージョン7.4.3あるいはそれ以降


IV. 回避策
本脆弱性に対して、開発者は回避策を提供しています。SSL VPN機能を無効に
することで本脆弱性の回避が可能です。なお、Webモードの無効化は回避策と
して有効ではないとのことです。


V. 参考情報
    Fortinet
    FortiOS/FortiProxy - Out-of-bound Write in sslvpnd
    https://www.fortiguard.com/psirt/FG-IR-24-015


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2024-02-09 公開
2024-02-15 「I. 概要」に追記、「II. 対象」「III. 対策」を更新
2024-02-29 「I. 概要」「II. 対象」「III. 対策」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=xZ3L
-----END PGP SIGNATURE-----