アクセス管理製品「PrivX」に脆弱性 - アップデートで修正
SSH Communications Securityが提供するアクセス管理ソリューション「PrivX」に脆弱性が明らかとなった。アップデートが呼びかけられている。
「同36.0」から「同18.0」までのバージョンでは、プロキシポート経由でネイティブSSH接続を行う場合、異なるユーザーへのなりすましが可能となる「CVE-2024-47857」が明らかとなったもの。
同脆弱性は、公開鍵の署名検証が不十分なことに起因。内部のコードレビューで発見したとしており、脆弱性の悪用などは確認されていない。
同脆弱性を悪用するには、「Secure Shell」のプロトコルと同製品の実装に関する知識が必要で一定の条件をクリアする必要があるとし、具体的な内容は示していないが、同社は脆弱性のスコアを「5.5」、重要度を「中(Medium)」であると説明している。
一方、同脆弱性について米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価しており、重要度を4段階中、もっとも高い「クリティカル(Critical)」とレーティングしている。
同社は、「同37.0」「同36.1」「同35.3」で修正済みであるとし、利用者にアップデートを呼びかけている。
(Security NEXT - 2025/02/04 )
ツイート
PR
関連記事
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
