Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も

今回は「Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Ivantiは米国時間1月31日、VPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいしゃく)性を修正するためのセキュリティアップデートを公開した。新たに2件の脆弱性情報も公開し、セキュリティアップデートでは既知2件、新規2件の複数の脆弱性に対処している。

 セキュリティアップデートは、当該製品の現行サポートバージョンとなる9x系および22x系が対象。バージョン9.1R14.4、同9.1R17.2、同9.1R18.3、同22.4R2.2、同22.5R1.1で脆弱性を修正した。ユーザーはダウンロードポータルから入手できるが、リリースは段階的に行うという

 既知の脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、悪用されると、第三者が認証を回避して任意のコマンドを実行する恐れがある。既に脆弱性を悪用するサイバー攻撃が発生している。

 新たに情報が公開されたのは、権限昇格の脆弱性(CVE-2024-21888)とサーバーサイド・リクエストフォージェリ(SSRF)の脆弱性(CVE-2024-21893)の2件で、既知の2件と同じくIvanti Connect SecureとIvanti Policy Secureに存在する。Ivantiによれば、CVE-2024-21893の脆弱性を悪用する攻撃が20社未満のユーザーで既に発生したという。

 Ivantiは、ユーザーにセキュリティアップデートの早期適用をアドバイスしている。また、すぐに適用できないユーザー向けの回避策も提供しており、新規に公開した脆弱性の影響を緩和するためのXMLファイルも追加している始した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
UBE三菱セメントが基幹システムを1年で本番稼働–新会社の経営基盤を“ゼロベース”で
IT関連
2023-05-23 10:55
生産性に磨きをかけて「仕事用OS」になったウェブブラウザー「Sidekick Browser」
ソフトウェア
2021-03-28 11:35
バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに
IT関連
2022-01-29 06:50
AIがマンガのコマ・キャラの顔を自動検出 「クリスタ」開発元が無料のWebツール
イラスト・デザイン
2021-04-03 11:00
Omnispaceは63億円を調達し衛星と5Gを単一のユビキタスネットワークに統合
IT関連
2021-02-04 12:27
AIチャットボットの能力を比較評価できる「Chatbot Arena」–ユーザーの判定を反映
IT関連
2023-06-24 17:46
りそな銀行ら、AI insideの「Developer's API」を採用–請求書から支払データを自動作成
IT関連
2022-07-06 21:32
何度でも組み立て直して遊べる&プログラミングできるロボット「ユカイなパチパチブロックキット」が発売開始
EdTech
2021-08-06 02:06
WeedmapsのiPhoneアプリで大麻購入が可能に
パブリック / ダイバーシティ
2021-08-13 21:43
Webアプリケーションフレームワーク「SvelteKit 1.0」正式リリース。SSR/SSG/SPAなど対応
HTML/CSS
2022-12-20 17:52
富士通、学校現場を支援するクラウド提供–「GIGAスクール構想」の早期定着へ
IT関連
2021-04-09 07:07
旅行体験アプリHeadoutがオミクロン株流行を乗り切り約34億円の追加資金を獲得
IT関連
2022-02-04 06:06
津波シミュレーターに竜巻発生装置……最新の「気象科学館」人気
IT関連
2021-02-16 19:59
7月の「Windows」月例パッチで「BitLocker」回復画面が表示される不具合
IT関連
2024-07-30 13:16