Fortinet FortiWeb - ファームウェアアップグレード機能の DoS (FG-IR-22-375)

medium Nessus プラグイン ID 177118

概要

Fortinet Firewall に、1 つ以上のセキュリティ関連の更新がありません。

説明

リモートホストにインストールされている FortiWeb のバージョンは、テスト済みバージョンより前です。したがって、FG-IR-22-375 のアドバイザリに記載されている脆弱性の影響を受けます。

- Fortinet FortiOS バージョン 7.2.0 ~ 7.2.4、FortiOS バージョン 7.0.0 ~ 7.0.10、FortiOS 6.4 のすべてのバージョン、FortiOS 6.2 のすべてのバージョン、FortiOS 6.0 のすべてのバージョン、FortiProxy バージョン 7.2.0 ~ 7.2.3、FortiProxy バージョン 7.0.0 ~ 7.0.9、FortiProxy 2.0 のすべてのバージョン、FortiProxy 1.2 のすべてのバージョン、FortiProxy 1.1 のすべてのバージョン、FortiProxy 1.0 のすべてのバージョン、FortiWeb バージョン 7.2.0 ~ 7.2.1、FortiWeb バージョン 7.0.0 ~ 7.0.6、FortiWeb 6.4 のすべてのバージョン、FortiWeb 6.3 のすべてのバージョンには、到達不能終了状態のあるループ (「無限ループ」) の脆弱性が存在します。これにより、攻撃者が特別に細工された HTTP リクエストを介してサービス拒否攻撃 (DoS) を実行できる可能性があります。(CVE-2023-33305)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

FortiPAM バージョン 1.0.0 以降にアップグレードしてください FortiWeb バージョン 7.2.2 以降にアップグレードしてください FortiWeb バージョン 7.0.7 以降にアップグレードしてください FortiOS バージョン 7.4.0 以降にアップグレードしてください FortiOS バージョン 7.2.5 以降にアップグレードしてください FortiOS バージョン 7.0.11 以降にアップグレードしてください FortiProxy バージョン 7.2.4 以降にアップグレードしてください 回避策として FortiProxy バージョン 7.0.10 以降にアップグレードしてください

参考資料

https://www.fortiguard.com/psirt/FG-IR-22-375

プラグインの詳細

深刻度: Medium

ID: 177118

ファイル名: fortiweb_FG-IR-22-375.nasl

バージョン: 1.6

タイプ: local

ファミリー: Firewalls

公開日: 2023/6/12

更新日: 2024/5/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-33305

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:fortinet:fortiweb

必要な KB アイテム: Host/Fortigate/model, Host/Fortigate/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/6/12

脆弱性公開日: 2023/6/12

参照情報

CVE: CVE-2023-33305

IAVA: 2023-A-0281-S