特権アクセス管理製品「Symantec PAM」に複数脆弱性 - 「クリティカル」も
Broadcomは、特権アクセス管理製品「Symantec Privileged Access Manager(PAM)」に判明した複数の脆弱性を解消するホットフィクスをリリースした。
累積的な脆弱性を修正するホットフィクス「同4.1.7.50」をリリースしたもの。あわせて11件の脆弱性を修正した。
認証なしにリモートよりコマンドを実行されるおそれがある「CVE-2024-36455」「CVE-2024-36456」「CVE-2024-38492」については、共通脆弱性評価システム「CVSSv4.0」のベーススコアが「9.4」と評価されており、重要度は「クリティカル(Critical)」とレーティングされている。
また「CVE-2024-38494」については「8.6」、「CVE-2024-38491」を「8.4」、重要度を「高(High)」とした。また別名「Blast-RADIUS」と名付けられたRADIUSプロトコルの脆弱性「CVE-2024-3596」もあわせて対応している。
PAMサーバにホットフィクスを適用する際、すべて適用するまでクラスタを停止する必要があるため注意が必要。十分な時間を用意するなど計画のもとでアップデートを行うよう求めている。
今回のホットフィクスで修正された脆弱性は以下のとおり。
CVE-2024-3596
CVE-2024-36455
CVE-2024-36456
CVE-2024-36457
CVE-2024-36458
CVE-2024-38491
CVE-2024-38492
CVE-2024-38493
CVE-2024-38494
CVE-2024-38495
CVE-2024-38496
(Security NEXT - 2024/07/23 )
ツイート
PR
関連記事
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
海外子会社でランサム被害、ファイル暗号化 - アルバック
情報共有システムで契約者の個人情報が閲覧可能に - JA共済
2月末に「SECCON 14」 - CTF決勝や講演、参加型企画も
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正
ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ
「Movable Type」にXSSや数式インジェクションなど複数の脆弱性
Kubernetes向け「Rancher Local Path Provisioner」に深刻な脆弱性
