アクセス管理製品「PrivX」に脆弱性 - アップデートで修正
SSH Communications Securityが提供するアクセス管理ソリューション「PrivX」に脆弱性が明らかとなった。アップデートが呼びかけられている。
「同36.0」から「同18.0」までのバージョンでは、プロキシポート経由でネイティブSSH接続を行う場合、異なるユーザーへのなりすましが可能となる「CVE-2024-47857」が明らかとなったもの。
同脆弱性は、公開鍵の署名検証が不十分なことに起因。内部のコードレビューで発見したとしており、脆弱性の悪用などは確認されていない。
同脆弱性を悪用するには、「Secure Shell」のプロトコルと同製品の実装に関する知識が必要で一定の条件をクリアする必要があるとし、具体的な内容は示していないが、同社は脆弱性のスコアを「5.5」、重要度を「中(Medium)」であると説明している。
一方、同脆弱性について米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価しており、重要度を4段階中、もっとも高い「クリティカル(Critical)」とレーティングしている。
同社は、「同37.0」「同36.1」「同35.3」で修正済みであるとし、利用者にアップデートを呼びかけている。
(Security NEXT - 2025/02/04 )
ツイート
PR
関連記事
ルータなどバッファロー製46モデルに脆弱性 - 一部サポート終了も
テキストエディタ「Vim」に脆弱性 - 細工ファイル開くとコード実行
「NetScaler ADC/Gateway」の脆弱性悪用を確認 - 米当局が注意喚起
脆弱性狙われる「BIG-IP APM」、国内で利用あり - 侵害調査など対応を
「F5 BIG-IP APM」脆弱性の悪用が発生 - 当初発表より深刻なリスク
「OpenBao」に認証関連で複数のクリティカル脆弱性
「Roundcube」にセキュリティアップデート - 更新を強く推奨
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
