Ivantik segurtasunaren eguneratze bat argitaratu du Ivanti Neurons for ITSM, Ivanti Avalanche eta Ivanti Virtual Traffic Manager (vTM) produktuei eragiten dieten larritasun handiko eta kritikoko ahultasunak zuzentzeko.
Avantik jakinarazi du ez duela ebidentziarik abisu hau argitaratu arte kalteberatasunak ustiatzen ari direla esateko. Bulenrabilitate kritikoek identifikatzaileak dituzte CVE-2024-7569 eta CVE-2024-7593, Lehenengoa Ivanti ITSM ITSM eta Neurons for ITSM bertsioen 2023.4 eta aurreko bertsioetan informazioa zabaltzeko akatsa izan da.
Horri esker, autentifikatu gabeko erasotzaile batek OIDC bezeroaren sekretua lor dezake. Bigarrena, Ivanti vTMn autentifikatzeko algoritmo bat gaizki inplementatzeko errore bat da, 22.2R1 edo 22.7R2 bertsioa ez dena, eta autentifikatu gabeko urruneko erasotzaile batek administrazio-panelaren autentifikazioa saihesteko aukera ematen duena. Ivantik jakinarazi du ez duela ebidentziarik abisu hau argitaratu arte kalteberatasunak ustiatzen ari direla esateko.
Akats horietako gehienak ustiatzea mehatxu larria izan daiteke ukitutako sistemen konfidentzialtasunerako, osotasunerako eta erabilgarritasunerako. Kalteberatasunek datu sentikorrak eskuratzeko, sistemen funtzionaltasuna aldatzeko eta zerbitzuan etenak eragiteko ustiatuak izateko potentziala dute.
Fabrikatzaileak dagoeneko argitaratu ditu dagozkion eguneratzeak eta arintze-neurriak, eta, horrela, akats nabarmenak zuzendu ditu. Beraz, kalteberatasun horiek eta beste batzuk prebenitzeko, komeni da sistemak eta aplikazioak eskuragarri dagoen azken bertsioan eguneratuta izatea beti, dagozkion partxeak argitaratu bezain laster.
Erreferentzia Gehigarriaks