Tájékoztatás Ivanti szoftvertermékek sérülékenységeiről


november 15. 12:08

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki Ivanti Endpoint Manager (EPM), Ivanti Avalanche, Ivanti Connect Secure, Ivanti Policy Secure, és Ivanti Security Access Client szoftvertermékeket érintő, kritikus kockázati besorolású sérülékenységekről, azok súlyossága és kihasználhatósága miatt.

Az Ivanti Endpoint Managert (EPM) több magas és egy kritikus kockázati besorolású sérülékenység érinti (CVE-2024-50330), amely SQL injection támadás során kihasználható távoli kódfuttatásra.

Termék: Érintett verziók: Javított verziók Patch elérése:
Ivanti Endpoint Manager (EPM) 2024 September security update és korábbi verziók,

2022 SU6 és korábbi verziók

 2024 November Security Update, 2022 SU6 November Security Update EPM 2024 November Patch

EPM 2022 SU6 November Patch

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022?language=en_US

Az  Ivanti Avalanche kapcsán öt magas kockázati besorolású sebezhetőség került javításra, amelyek Denial-of-Service támadásra használhatók fel.

Termék: Érintett verziók: Javított verzió: Patch elérése:
Ivanti Avalanche 6.4.5 és korábbi verziók 6.4.6 Download Portal

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-Multiple-CVEs-Q4-2024-Release?language=en_US

Az  Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) szoftvertermékek esetében több kritikus kockázati besorolású sebezhetőség autentikált támadó számára távoli kódfutattást tehet lehetővé, egyes magas és közepes kockázati besorolású biztonsági hibák sikeres kihazsnálás esetén és Denial-of-Service kondíciót eredményezhetnek.

Termék: Érintett verziók: Javított verzió: Patch elérése:
Ivanti Connect Secure (ICS) 22.7R2.2 and prior 22.7R2.3 Ivanti Portal
Ivanti Policy Secure (IPS) 22.7R1.1 and prior 22.7R1.2 Ivanti Portal
Ivanti Secure Access Client (ISAC) 22.7R3 and prior 22.7R4 Ivanti Portal

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-Multiple-CVEs-Q4-2024-Release?language=en_US

 Az NBSZ NKI a gyártó által kiadott biztonsági frissítések haladéktalan telepítését javasolja.

 Hivatkozások:

Letöltés:
  Tajekoztato_11_15_Ivanti.pdf

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »