MDM製品「Ivanti Avalanche」に多数の深刻な脆弱性
Ivantiが提供するモバイル管理ソリューション「Avalanche」に複数の深刻な脆弱性が明らかとなった。最新版へのアップデートが強く推奨されている。
同製品において、22件の脆弱性が明らかとなったもの。悪用されるとリモートでコードを実行されたり、サービス拒否、情報漏洩などが生じるおそれがある。あわせて「Apache Tomcat」に明らかとなった「CVE-2023-46589」に対応した。
特に「CVE-2023-41727」「CVE-2023-46216」「CVE-2023-46217」「CVE-2023-46220」「CVE-2023-46221」「CVE-2023-46222」「CVE-2023-46223」「CVE-2023-46224」「CVE-2023-46225」「CVE-2023-46257」「CVE-2023-46258」「CVE-2023-46259」「CVE-2023-46261」の13件に関しては、共通脆弱性評価システム「CVSSv3.0」のベーススコアが「9.8」と高く、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
また同社は、「CVE-2023-46260」のCVSS基本値を「7.5」、「CVE-2023-46263」「CVE-2023-46264」を「7.2」、「CVE-2023-46265」を「6.5」としたが、米国立標準技術研究所(NIST)による脆弱性データベース「NVD」では、これら4件も含めた17件に対し、「CVSS 3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。
脆弱性に関しては「同6.3.1」にて確認されたが、「6.x」系統すべてが影響を受けると見られ、同社は最新版となる「同6.4.2」へ更新することを強く推奨している。「同6.4.2」にて修正された脆弱性は以下のとおり。
CVE-2021-22962
CVE-2023-41727
CVE-2023-46216
CVE-2023-46217
CVE-2023-46220
CVE-2023-46221
CVE-2023-46222
CVE-2023-46223
CVE-2023-46224
CVE-2023-46225
CVE-2023-46257
CVE-2023-46258
CVE-2023-46259
CVE-2023-46260
CVE-2023-46261
CVE-2023-46262
CVE-2023-46263
CVE-2023-46264
CVE-2023-46265
CVE-2023-46266
CVE-2023-46589
CVE-2023-46803
CVE-2023-46804
(Security NEXT - 2023/12/28 )
ツイート
PR
関連記事
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
小中20校で児童生徒の個人情報を同意なしにPTAへ提供 - 静岡市
サイバーセキュリティ総務大臣奨励賞、個人2名と2団体が受賞
複数Chatworkアカウントが侵害、不正な請求書送信も - 鉄道設備機器メーカー
電子カルテで知人情報を不正取得、漏洩した病院職員を処分 - 青森県
手術室のタブレット端末が所在不明 - 荻窪病院
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
業務用チャットアカウントに不正アクセス - 東京計器
デンソー海外2拠点にサイバー攻撃 - 情報流出の可能性、生産に影響なし
