資安業者Ivanti本週發布9月份安全性更新公告,他們針對裝置管理系統Endpoint Manager(EPM)、安全通訊設備Cloud Service Appliance(CSA),以及使用者桌面環境管理工具Workspace Control(IWC)發布更新,其中,包含重大層級漏洞的EPM公告最值得留意。

該公司指出,EPM 2024、EPM 2022 SU5及之前版本當中,總共發現了16個漏洞,其中有10個是重大層級。根據CVSS風險評分的高低,最嚴重的是達到滿分(10分)的CVE-2024-29847,此問題出現在代理程式的入口網站,為未受信任資料的「解序列化(deserialization)」弱點,一旦攻擊者利用,就有機會在未通過身分驗證的情況下,遠端執行任意程式碼。

其餘9個重大層級的弱點,皆為SQL注入漏洞,通過身分驗證且具備管理權限的攻擊者,有機會遠端執行程式碼,CVSS風險評分都是9.1分。

針對上述漏洞,該公司已為EPM 2024發布了熱修補程式,並對於EPM 2022推出SU6更新,值得留意的是,EPM 2024的熱修補程式必須已安裝特定更新才能套用,對此,他們也規畫之後會提供EPM 2024更新套件SU1。

熱門新聞

Advertisement