Ivanti Avalanche-ում գրանցվել են անվտանգության բազմաթիվ կարևոր խոցելիություններ: Դրանք բջջային սարքերի կառավարման լուծումներ են, որոնք օգտագործվում են 30,000 կազմակերպությունների կողմից:
Խոցելիությունները, որոնք միասին դիտարկվում են որպես CVE-2023-32560 (CVSS կատալաոգում միավորը՝ 9.8), Ivanti Avalanche WLAvanacheServer.exe v6.4.0.0-ի բուֆերների վրա հիմնված արտահոսքեր են:
Stack-ի վրա հիմնված բուֆերային արտահոսքի խոցելիություններն առաջանում են, երբ վերագրանցվող բուֆերը գտնվում է փաթեթում, ինչը հանգեցնում է մի սցենարի, որտեղ ծրագրի կատարումը կարող է փոփոխվել` բարձր արտոնություններով կամայական կոդ գործարկելու համար:
Ivanti-ն թողարկել է հենց Avalanche 6.4.1 տարբերակի խնդիրը շտկելու համար:
Թարմացումն անդրադառնում է նաև վեց այլ խոցելիությունների (CVE-2023-32561-ից մինչև CVE-2023-32566), որոնք կարող են ճանապարհ հարթել նույնականացման շրջանցման և կոդերի remote կատարման համար:
Քանի որ Ivanti-ի ծրագրային ապահովման անվտանգության խոցելիություններն ակտիվորեն ուսումնասիրվում են վերջին շրջանում: Շատ կարևոր է և առաջնային, որ օգտատերերն արագորեն կիրառեն համապատասխան շտկումները՝ հնարավոր սպառնալիքները մեղմելու համար:
Աղբյուրը՝ https://thehackernews.com/
