製品に関するお知らせ: SonicOS IPsecにバッファオーバーフローの脆弱性
概要
SonicOSのIPSecにヒープベースのバッファーオーバーフローの脆弱性があり、認証されていないリモートの攻撃者にサービス運用妨害(DoS)を引き起こす可能性があります。
製品の影響
ご利用中のファイアウォールアプライアンスが影響を受けるかどうか以下の表をご確認ください。お使いのアプライアンスが影響を受けるファームウェアバージョンを使用している場合は、提供されるパッチガイダンスに従って下さい。
| Gen | 影響のあるモデル | 影響のあるバージョン |
| Gen6 | NSv 10, NSv 25, NSv 50, NSv 100, NSv 200, NSv 300, NSv 400, NSv 800, NSv 1600 | SonicOSV 6.5.4.4-44v-21-2395および以前のバージョン(英語ファームウェアのみ) |
| Gen7 | TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870 | SonicOS 7.1.1-7051 および以前のバージョン(日本語ファームウェアのリリースなし) SonicOS 7.0.1-5151 および以前のバージョン |
ノート: SonicOS 5.x, 6.x および 6.5.x の物理アプライアンスには影響はありません。
回避策
潜在的な影響を軽減するために、インバウンドIPsec VPNの接続元を信頼できる送信元IPに限定するかインターネットからのインバウンドIPSec VPNを無効にして下さい。また可能であればGeoIPで海外からのIPSec VPN接続を禁止して下さい。その後なるべく早いタイミングでパッチファームウェアを適用ください。ファームウェアのアップグレード方法は、SonicOSのファームウェアアップグレード手順に関して を参照ください。
対処方法
本脆弱性の影響を受けるSonicOSバージョンをご利用の場合下の表に記載のバージョンにアップグレードする必要があります。
| Gen | 対象のモデル | 修正バージョン |
| Gen6 | NSv 10, NSv 25, NSv 50, NSv 100, NSv 200, NSv 300, NSv 400, NSv 800, NSv 1600 | SonicOSV 6.5.4.4-44v-21-2457 |
| Gen7 | TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870 | SonicOS 7.1.1-7058 SonicOS 7.0.1-5161(近日日本語ファームウェアをリリース予定) SonicOS 7.1.2-7019 |
ノート: 既にSonicOS 7.1.1-7058をご使用中の場合、現時点で追加のアクションはありません。
関連情報(英語)
- PSIRT ADVISORY CVE-2024-40764
- SonicOSのファームウェアアップグレード手順に関して
- Can I upgrade my NSv Firewall from SonicOS 7.0.1 to SonicOS 7.1.1 and later releases?
- SonicOS 7.1.1 FAQ