Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も

今回は「Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Ivantiは米国時間1月31日、VPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいしゃく)性を修正するためのセキュリティアップデートを公開した。新たに2件の脆弱性情報も公開し、セキュリティアップデートでは既知2件、新規2件の複数の脆弱性に対処している。

 セキュリティアップデートは、当該製品の現行サポートバージョンとなる9x系および22x系が対象。バージョン9.1R14.4、同9.1R17.2、同9.1R18.3、同22.4R2.2、同22.5R1.1で脆弱性を修正した。ユーザーはダウンロードポータルから入手できるが、リリースは段階的に行うという

 既知の脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、悪用されると、第三者が認証を回避して任意のコマンドを実行する恐れがある。既に脆弱性を悪用するサイバー攻撃が発生している。

 新たに情報が公開されたのは、権限昇格の脆弱性(CVE-2024-21888)とサーバーサイド・リクエストフォージェリ(SSRF)の脆弱性(CVE-2024-21893)の2件で、既知の2件と同じくIvanti Connect SecureとIvanti Policy Secureに存在する。Ivantiによれば、CVE-2024-21893の脆弱性を悪用する攻撃が20社未満のユーザーで既に発生したという。

 Ivantiは、ユーザーにセキュリティアップデートの早期適用をアドバイスしている。また、すぐに適用できないユーザー向けの回避策も提供しており、新規に公開した脆弱性の影響を緩和するためのXMLファイルも追加している始した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
シャープ、法人での見守りや運動管理を支援する「i-wellebe」を発表
IT関連
2023-09-09 16:21
マイクロソフトは「自社開発の生成AI」をビジネス向けに打ち出すか
IT関連
2024-05-02 01:16
テラデータ、データ分析基盤の新製品「VantageCloud Lake」を発表
IT関連
2022-09-02 10:27
マイクロソフト、偽の求人情報を使ったフィッシング攻撃について警告
IT関連
2022-10-04 20:01
エアトリ、MAツール「AIMSTAR」導入–総合旅行プラットフォームのCV率向上へ
IT関連
2024-07-14 22:46
メルペイ、ニトリホールディングスにコード決済サービスを提供
IT関連
2024-02-21 06:41
あらゆるテクノロジーが詰め込まれたメルセデス・ベンツEQS 2022年モデル、350ものセンサーで実現された数々の新機能
モビリティ
2021-04-28 01:44
ChatGPT、ローカルマシン上のXcodeやVSCodeのコードを読み込み、直接編集してプログラムを作成可能に。Mac版の新機能として
機械学習・AI
2025-03-12 20:27
NTTデータグループ、Celonisでヘルプデスク問い合わせを年4600時間以上削減へ
IT関連
2024-03-14 10:15
レッドチームによる検証事例からCISAが推奨する3つのアクション
IT関連
2023-03-15 00:11
ドキュサイン、SaaS型契約管理システムを国内提供–全工程をデジタル化
IT関連
2024-10-22 22:05
IoTスタートアップobnizの通信ゲートウェイが東京都のコロナ自宅療養者向けパルスオキシメーター監視システムに採用
IT関連
2022-02-08 03:07
ドコモ20年度通期は増収増益、ただしモバイル事業は減収 今期は金融・決済に注力
企業・業界動向
2021-05-13 18:05
AI活用でランサムウェアの早期検知に挑むマイクロソフト
IT関連
2022-06-30 10:44