FortiOSのヒープベースのバッファーオーバーフローの脆弱性 | ScanNetSecurity
2026.07.12(日)

FortiOSのヒープベースのバッファーオーバーフローの脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月14日、FortiOSのヒープベースのバッファーオーバーフローの脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月14日、FortiOSのヒープベースのバッファーオーバーフローの脆弱性について発表した。影響を受けるシステムは以下の通り。

FortiOS バージョン 7.2.0 から 7.2.2 まで
FortiOS バージョン 7.0.0 から 7.0.8 まで
FortiOS バージョン 6.4.0 から 6.4.10 まで
FortiOS バージョン 6.2.0 から 6.2.11 まで
FortiOS バージョン 6.0.0 から 6.0.15 まで
FortiOS バージョン 5.6.0 から 5.6.14 まで
FortiOS バージョン 5.4.0 から 5.4.13 まで
FortiOS バージョン 5.2.0 から 5.2.15 まで
FortiOS バージョン 5.0.0 から 5.0.14 まで
FortiOS-6K7K バージョン 7.0.0 から 7.0.7 まで
FortiOS-6K7K バージョン 6.4.0 から 6.4.9 まで
FortiOS-6K7K バージョン 6.2.0 から 6.2.11 まで
FortiOS-6K7K バージョン 6.0.0 から 6.0.14 まで

 リモートアクセスを実現するための VPN 製品「FortiOS SSL-VPN」には、ヒープベースのバッファオーバーフローの脆弱性が存在し、本脆弱性が悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードやコマンドを実行される可能性がある。

 IPAでは、開発者が提供する情報をもとに最新版へアップデートするか、暫定的な回避策としてSSL-VPN を無効にするよう呼びかけている。

 なおFortinetでは、本脆弱性を悪用する攻撃を確認しており、対策の適用に加え、脆弱性を悪用する攻撃の被害を受けていないか、機器ログに脆弱性の悪用を示すログが記録されていないか、機器に不審なファイルが設置されていないか、機器から不審な通信先への通信が発生していないか、調査を実施するよう推奨している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  2. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  4. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  5. GMOサイバーセキュリティ byイエラエ執行役員の奥野史一氏が初著書『2025-2035 サイバー空間の地政学 ─「見えない戦場」の現在地と未来予測』刊行

    GMOサイバーセキュリティ byイエラエ執行役員の奥野史一氏が初著書『2025-2035 サイバー空間の地政学 ─「見えない戦場」の現在地と未来予測』刊行

ランキングをもっと見る
PageTop