Անվտանգության կրիտիկական խոցելիություններն ազդում են Ivanti Avalanche-ի վրա

Անվտանգության կրիտիկական խոցելիություններն ազդում են Ivanti Avalanche-ի վրա

Ivanti Avalanche-ում գրանցվել են անվտանգության բազմաթիվ կարևոր խոցելիություններ: Դրանք բջջային սարքերի կառավարման լուծումներ են, որոնք օգտագործվում են 30,000 կազմակերպությունների կողմից:

Խոցելիությունները, որոնք միասին դիտարկվում են որպես CVE-2023-32560 (CVSS կատալաոգում միավորը՝ 9.8), Ivanti Avalanche WLAvanacheServer.exe v6.4.0.0-ի բուֆերների վրա հիմնված արտահոսքեր են:

Stack-ի վրա հիմնված բուֆերային արտահոսքի խոցելիություններն առաջանում են, երբ վերագրանցվող բուֆերը գտնվում է փաթեթում, ինչը հանգեցնում է մի սցենարի, որտեղ ծրագրի կատարումը կարող է փոփոխվել` բարձր արտոնություններով կամայական կոդ գործարկելու համար:

Ivanti-ն թողարկել է հենց Avalanche 6.4.1 տարբերակի խնդիրը շտկելու համար:

Թարմացումն անդրադառնում է նաև վեց այլ խոցելիությունների (CVE-2023-32561-ից մինչև CVE-2023-32566), որոնք կարող են ճանապարհ հարթել նույնականացման շրջանցման և կոդերի remote կատարման համար:

Քանի որ Ivanti-ի ծրագրային ապահովման անվտանգության խոցելիություններն ակտիվորեն ուսումնասիրվում են վերջին շրջանում: Շատ կարևոր է և առաջնային, որ օգտատերերն արագորեն կիրառեն համապատասխան շտկումները՝ հնարավոր սպառնալիքները մեղմելու համար:

 

Աղբյուրը՝  https://thehackernews.com/