Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み

Ivantiが提供するモバイルデバイスの管理ソリューション「Avalanche」に複数の脆弱性が明らかとなった。深刻な脆弱性も複数含まれており、一部はすでに詳細が公開されている。

同社はセキュリティアドバイザリを公開し、「同6.4.3」において27件の脆弱性に対処したことを明らかにしたもの。脆弱性へ対処するため、最新版にアップデートするよう強く推奨した。

なかでも、認証なしにリモートよりコマンドの実行が可能となるヒープオーバーフローの脆弱性「CVE-2024-24996」「CVE-2024-29204」は、共通脆弱性評価システム「CVSSv3」のベーススコアがともに「9.8」と高い。

さらにCVSS基本値が「8.8」とされる脆弱性12件を含む脆弱性13件が8点台、4件についても7点台と評価されている。

Ivantiでは協調的に脆弱性を解消し、アドバイザリを公開した現地時間4月16日の時点で悪用は確認されていないと説明しているが、「CVE-2024-29204」については、翌17日に脆弱性の報告者であるTenableより概念実証(PoC)が公開されており、注意が必要となる。

今回修正された脆弱性は以下のとおり。

CVE-2024-22061
CVE-2024-23526
CVE-2024-23527
CVE-2024-23528
CVE-2024-23529
CVE-2024-23530
CVE-2024-23531
CVE-2024-23532
CVE-2024-23533
CVE-2024-23534
CVE-2024-23535
CVE-2024-24991
CVE-2024-24992
CVE-2024-24993
CVE-2024-24994
CVE-2024-24995
CVE-2024-24996
CVE-2024-24997
CVE-2024-24998
CVE-2024-24999
CVE-2024-25000
CVE-2024-27975
CVE-2024-27976
CVE-2024-27977
CVE-2024-27978
CVE-2024-27984
CVE-2024-29204

(Security NEXT - 2024/04/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米親会社委託先にサイバー攻撃 - 希少疾患の製薬会社
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
2Qはインシデントが約8.5%増 - フィッシングが増加
アカウント管理システムに侵害の痕跡、個人情報が流出 - 伊藤忠丸紅鉄鋼子会社
Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低
「BIND 9」にアップデート - DoS脆弱性4件を修正
Chromeのアップデートが公開 - セキュリティ関連で24件の修正
「MS Edge」にセキュリティアップデート - 脆弱性8件を修正
ブラウザ「Chrome」にアップデート - セキュ関連で10件の修正
特権アクセス管理製品「Symantec PAM」に複数脆弱性 - 「クリティカル」も

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.