Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み

Ivantiが提供するモバイルデバイスの管理ソリューション「Avalanche」に複数の脆弱性が明らかとなった。深刻な脆弱性も複数含まれており、一部はすでに詳細が公開されている。

同社はセキュリティアドバイザリを公開し、「同6.4.3」において27件の脆弱性に対処したことを明らかにしたもの。脆弱性へ対処するため、最新版にアップデートするよう強く推奨した。

なかでも、認証なしにリモートよりコマンドの実行が可能となるヒープオーバーフローの脆弱性「CVE-2024-24996」「CVE-2024-29204」は、共通脆弱性評価システム「CVSSv3」のベーススコアがともに「9.8」と高い。

さらにCVSS基本値が「8.8」とされる脆弱性12件を含む脆弱性13件が8点台、4件についても7点台と評価されている。

Ivantiでは協調的に脆弱性を解消し、アドバイザリを公開した現地時間4月16日の時点で悪用は確認されていないと説明しているが、「CVE-2024-29204」については、翌17日に脆弱性の報告者であるTenableより概念実証(PoC)が公開されており、注意が必要となる。

今回修正された脆弱性は以下のとおり。

CVE-2024-22061
CVE-2024-23526
CVE-2024-23527
CVE-2024-23528
CVE-2024-23529
CVE-2024-23530
CVE-2024-23531
CVE-2024-23532
CVE-2024-23533
CVE-2024-23534
CVE-2024-23535
CVE-2024-24991
CVE-2024-24992
CVE-2024-24993
CVE-2024-24994
CVE-2024-24995
CVE-2024-24996
CVE-2024-24997
CVE-2024-24998
CVE-2024-24999
CVE-2024-25000
CVE-2024-27975
CVE-2024-27976
CVE-2024-27977
CVE-2024-27978
CVE-2024-27984
CVE-2024-29204

(Security NEXT - 2024/04/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米当局、Windowsに対するゼロデイ攻撃に注意喚起
サイバー攻撃でシステム障害、影響など詳細を調査 - おやつカンパニー
Apple、「macOS Sequoia 15.3.2」や「Safari 18.3.1」をリリース
Apple、「iOS 18.3.2」など公開 - 旧iOSにゼロデイ攻撃の可能性
MSが3月の月例パッチを公開 - ゼロデイ脆弱性6件を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートが公開
「Firefox 136」がリリース - ESR版では「クリティカル」脆弱性を修正
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
「OpenText Identity Manager」の脆弱性に注意 - 認証情報漏洩のおそれ
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.