株式会社ディアイティはサイバーセキュリティとネットワークの企業

サポート|FORTINETインフラ型 無線LANソリューション

2017.10.19 [重要] FortiWLCにおけるコマンドインジェクションの脆弱性
2017.10.19 [重要] FortiWLCにおけるクロスサイトスクリプティングの脆弱性
2018.01.16 update [重要] WPA2ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
2018.01.16 Update Fortinet コントローラの推奨ファームウェアバージョンについて

[重要] FortiWLCにおけるコマンドインジェクションの脆弱性 2017.10.19

概要

FortiWLCには、コマンドインジェクションの脆弱性が存在します。

影響を受ける製品
影響を受けるソフトウェアバージョン
詳細情報

FortiWLCのWeb管理画面のAPスクリプトのダウンロードページはOSコマンドインジェクションの影響を受けます。
これにより認証された管理者は任意のシステムコンソールコマンドを実行することが可能となります。
また、権限昇格により「root」権限を得ることが可能になります。

想定される影響

認証された管理者より任意のシステムコンソールコマンドを実行することが可能。
また、「root」権限の入手が可能。

対策方法

アップデートする

Fortinet社からの情報については、以下リンクより FortiGuard Labs の PSIRT Advisory をご参照ください。



[重要] FortiWLCにおけるクロスサイトスクリプティングの脆弱性 2017.10.19

概要

FortiWLCの管理者WebUIには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受ける製品
影響を受けるソフトウェアバージョン
詳細情報

FortiWLCにはクロスサイトスクリプティングの脆弱性が存在します。
攻撃者によって細工された URL に誘導された場合、任意のスクリプトを実行される可能性があります。

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

アップデートする

Fortinet社からの情報については、以下リンクより FortiGuard Labs の PSIRT Advisory をご参照ください。



[重要] WPA2ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題 2018.01.16 update

JPCERT/CCより無線LAN製品に関するWPA2ハンドシェイクの脆弱性情報の報告がありました。

影響を受ける製品
回避策

本脆弱性はMeshモードの利用、Service assurance module (SAM)の有効化、802.11rの利用設定を行っている場合にのみ影響があります。
これらの機能全てを無効(デフォルト設定では無効)にすることでWPA2の脆弱性の影響はありません。

対策方法

8.3.3, 8.2.7, 7.0.11で影響のある設定に対しパッチを適用する。

パッチ適用をご要望の際は、別途サポート窓口までお問い合わせください。

Fortinet社からの情報については、以下リンクより FortiGuard Labs の PSIRT Advisory をご参照ください。

暗号化処理における Nonce、鍵ペアの再利用 (CWE-323)の内容

WPA2 プロトコルには、ハンドシェイク中に Nonce およびセッション鍵が再利用される問題があります。攻撃者はアクセスポイント (AP) とクライアントの間で Man-in-the-Middle 攻撃を成功させた後、ハンドシェイク中に特定のメッセージを AP またはクライアントに再送することで、Nonce やリプレイカウンタ をリセットし、すでに使用されているセッション鍵を再利用させることが可能です。
具体的には、以下の脆弱性が存在します。


本脆弱性の詳細な情報については、以下リンクよりJVNの詳細情報をご参照ください。



Fortinet コントローラの推奨ファームウェアバージョンについて2018.01.16 update

各モデルの推奨ファームウェアバージョン


※FortiWLM(Network Manager)およびFortiConnectは、使用しているコントローラのバージョンにより推奨バージョンが異なりますので、別途お問合せください。



この製品に関するお問い合わせ

03-5634-7653電話受付時間/平日9:00-18:00
製品・サービスに関する
問い合わせ
 
ご購入後のサポートに関する
お問い合わせ