JBCC株式会社
JBサービス株式会社
この度、フォーティネット社より、FortiOSの脆弱性(CVE-2023-33308)に関する案内が公表されましたので、以下の通りご連絡いたします。
(CVE-2023-33308)
スタックベースのオーバーフローの脆弱性 [CWE-124] により、リモートの攻撃者は細工されたパケットを介して
任意のコードまたはコマンドを実行される可能性があります。
FortiGate、もしくはFortiProxyにてプロキシモードを使用するプロキシポリシーまたはファイアウォールポリシーに
SSLディープインスペクションを適用している場合、同ポリシーに到達する細工されたパケットを介して
任意のコードまたはコマンドを実行可能です。
(CVE-2023-33308)
FortiOS/FortiProxy - Proxy mode with deep inspection - Stack-based buffer overflow
https://www.fortiguard.com/psirt/FG-IR-23-183
対象製品、およびバージョン
■FortiGate、FortiWiFi
ver.7.2.0, 7.2.1, 7.2.2, 7.2.3
ver.7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.0.7, 7.0.8, 7.0.9, 7.0.10
■FortiProxy
ver.7.2.0, 7.2.1, 7.2.2
ver.7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.0.7, 7.0.8, 7.0.9