Ivanti、セキュリティアップデートを公開--新たに2件の脆弱性も

ZDNET Japan Staff

2024-02-01 12:16

 Ivantiは米国時間1月31日、VPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいしゃく)性を修正するためのセキュリティアップデートを公開した。新たに2件の脆弱性情報も公開し、セキュリティアップデートでは既知2件、新規2件の複数の脆弱性に対処している。

 セキュリティアップデートは、当該製品の現行サポートバージョンとなる9x系および22x系が対象。バージョン9.1R14.4、同9.1R17.2、同9.1R18.3、同22.4R2.2、同22.5R1.1で脆弱性を修正した。ユーザーはダウンロードポータルから入手できるが、リリースは段階的に行うという

 既知の脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、悪用されると、第三者が認証を回避して任意のコマンドを実行する恐れがある。既に脆弱性を悪用するサイバー攻撃が発生している。

 新たに情報が公開されたのは、権限昇格の脆弱性(CVE-2024-21888)とサーバーサイド・リクエストフォージェリ(SSRF)の脆弱性(CVE-2024-21893)の2件で、既知の2件と同じくIvanti Connect SecureとIvanti Policy Secureに存在する。Ivantiによれば、CVE-2024-21893の脆弱性を悪用する攻撃が20社未満のユーザーで既に発生したという。

 Ivantiは、ユーザーにセキュリティアップデートの早期適用をアドバイスしている。また、すぐに適用できないユーザー向けの回避策も提供しており、新規に公開した脆弱性の影響を緩和するためのXMLファイルも追加している始した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]