「Tripwire Enterprise」に深刻な脆弱性 - アップデートを

Fortraが提供する改ざん検知製品「Tripwire Enterprise」に深刻な脆弱性が明らかとなった。最新版へのアップデートが呼びかけられている。

同社は現地時間6月3日にセキュリティアドバイザリを公開し、認証のバイパスが可能となる脆弱性「CVE-2024-4332」について明らかにした。「同9.1.0」のみ影響を受ける。

「REST」および「SOAP」のAPIコンポーネントにおいて「SAML認証」を使用し、一部オプションを有効化している場合、有効なユーザー名を把握していれば、認証を必要とすることなくリモートから「API」に対するアクセスが可能となる。

情報漏洩や改ざんなどに悪用されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

Fortraは脆弱性を修正した「同9.1.1」をリリース。最新版へアップデートすることを強く推奨している。また同バージョンへ更新できない場合は、回避策を実施するよう呼びかけている。

（Security NEXT - 2024/06/05 ）ツイート