Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MDM製品「Ivanti Avalanche」に多数の深刻な脆弱性

Ivantiが提供するモバイル管理ソリューション「Avalanche」に複数の深刻な脆弱性が明らかとなった。最新版へのアップデートが強く推奨されている。

同製品において、22件の脆弱性が明らかとなったもの。悪用されるとリモートでコードを実行されたり、サービス拒否、情報漏洩などが生じるおそれがある。あわせて「Apache Tomcat」に明らかとなった「CVE-2023-46589」に対応した。

特に「CVE-2023-41727」「CVE-2023-46216」「CVE-2023-46217」「CVE-2023-46220」「CVE-2023-46221」「CVE-2023-46222」「CVE-2023-46223」「CVE-2023-46224」「CVE-2023-46225」「CVE-2023-46257」「CVE-2023-46258」「CVE-2023-46259」「CVE-2023-46261」の13件に関しては、共通脆弱性評価システム「CVSSv3.0」のベーススコアが「9.8」と高く、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。

また同社は、「CVE-2023-46260」のCVSS基本値を「7.5」、「CVE-2023-46263」「CVE-2023-46264」を「7.2」、「CVE-2023-46265」を「6.5」としたが、米国立標準技術研究所(NIST)による脆弱性データベース「NVD」では、これら4件も含めた17件に対し、「CVSS 3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。

脆弱性に関しては「同6.3.1」にて確認されたが、「6.x」系統すべてが影響を受けると見られ、同社は最新版となる「同6.4.2」へ更新することを強く推奨している。「同6.4.2」にて修正された脆弱性は以下のとおり。

CVE-2021-22962
CVE-2023-41727
CVE-2023-46216
CVE-2023-46217
CVE-2023-46220
CVE-2023-46221
CVE-2023-46222
CVE-2023-46223
CVE-2023-46224
CVE-2023-46225
CVE-2023-46257
CVE-2023-46258
CVE-2023-46259
CVE-2023-46260
CVE-2023-46261
CVE-2023-46262
CVE-2023-46263
CVE-2023-46264
CVE-2023-46265
CVE-2023-46266
CVE-2023-46589
CVE-2023-46803
CVE-2023-46804

(Security NEXT - 2023/12/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WP eCommerce plugin」に深刻な脆弱性 - パッチは未提供
「Microsoft Edge」にセキュリティアップデート - 脆弱性3件を修正
「Microsoft Streaming Service」の脆弱性に対する攻撃に注意
小学校サイト掲載の学級通信に要配慮個人情報 - 豊田市
「Security Days Spring」、3月に東名阪で順次開催
顧客向け案内メールを「CC」送信 - トヨタツーリスト
県立高校で生徒の個人情報含む出席簿を紛失 - 埼玉県
個人情報含む労働力調査関係書類を紛失 - 群馬県
個情委、四谷大塚に行政指導 - 子どもを守るため特に注意必要
税関の入国者申告データが消失 - アプリ改修作業のエラー対応ミスで