Fortigate SSLディープインスペクション、プロキシモードでの脆弱性（CVE-2023-33308）

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Fortigate SSLディープインスペクション、プロキシモードでの脆弱性（CVE-2023-33308）についてご紹介します。

脆弱性

FortiOSでSSLディープインスペクションをプロキシモードで利用している場合に脆弱性があり細工されたパケットを介して任意のコードまたはコマンドを実行する可能性があります。

Severity：Critical

CVSSv3：9.8

対象のバージョンは下記となります。

• FortiOS バージョン 7.2.0 – 7.2.3
• FortiOS バージョン 7.0.0 – 7.0.10

FortiOS6.4、6.2、6.0は影響をうけません。

FortiGuard

 

2 Users

2 Pockets

Fortiguard

https://www.fortiguard.com/psirt/FG-IR-23-183

None

修正バージョン

下記のバージョンにアップデートをお願いします。

• FortiOS バージョン 7.2.4 以降
• FortiOS バージョン 7.0.11 以降

先日の脆弱性対応でバージョンアップしていれば修正バージョンになっているかと思います。

【2023年7月13日追記】

HTTP/2 サポートを無効にするワークアラウンドが出ました。

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end

まとめ

• クリティカルのSSLディープインスペクション脆弱性
• 先日のSSL-VPN脆弱性でアップデートしてれば対策済みとなる

今回はFortigate SSLディープインスペクション、プロキシモードでの脆弱性（CVE-2023-33308）についてご紹介しました。

関連記事:

Fortigate SSL-VPNヒープ バッファ オーバーフローの脆弱性（CVE-2023-27997） Fortigate 管理インターフェイスのバッファ アンダーライト  (「バッファ アンダーフロー」) の脆弱性（CVE-2023-25610） HPE ArubaOSに存在する複数のセキュリティ脆弱性（CVE-2021-3712、CVE-2023-22747～CVE-2023-22778） Fortigate SSL-VPN脆弱性（CVE-2022-42475）