[TLP:CLEAR] Ivanti opravuje 8 zraniteľností v rôznych produktoch
Ivanti opravuje 8 zraniteľností v produktoch Neurons for ITSM, Virtual Traffic Manager a Avalanche [4][5][6]. Zraniteľnosti v Neurons for ITSM boli opravené záplatou [4]. Produkty a ich opravené verzie: Ivanti Neurons for ITSM - 2023.4 w/ patch [7], 2023.3 w/ patch [8], 2023.2 w/ patch [9] Ivanti Virtual Traffic Manager - 22.2R1, 22.3R3, 22.3R3, 22.5R2, 22.6R2, 22.7R2 [5] Ivanti Avalanche - 6.4.4 [6]
Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok neoprávneným zmazaním kritických súborov zo systému [1].
Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Viac informácií:
- CVE-2024-38652 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Autentizovanému vzdialenému útočníkovi s právami administrátora je v Ivanti Avalanche umožnené neoprávnene vykonávať kód [1].
Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.4.4.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-37373 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok dereferenciou NULL ukazovateľa [2].
Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-37399 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať XXE útok a pristupovať tak k ľubovolným súborom [1].
Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
Viac informácií:
- CVE-2024-38653 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok pretečením zásobníka [1].
Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-36136 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-193: Off-by-one Error at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Virtual Traffic Manager umožnené obísť autentizáciu pri prístupe do panela administrátora [3].
Zraniteľnosť sa nachádza v produkte Ivanti Virtual Traffic Manager vo verziách (>=22.2 AND <22.2R1) OR (>=22.3 AND <22.3R3) OR (>=22.3R2 AND <22.3R3) OR (>=22.5R1 AND <22.5R2) OR (>=22.6R1 AND <22.6R2) OR (>=22.7R1 AND <22.7R2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7593 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
- CWE-303: Incorrect Implementation of Authentication Algorithm at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Neurons for ITSM umožnené získať OIDC tajomstvo pomocou nástroja na odstraňovanie chýb [10].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7569 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-215: Insertion of Sensitive Information Into Debugging Code at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v Ivanti Neurons for ITSM umožnené vytvoriť prístupový token do systému a vydávať sa tak za akéhokoľvek používateľa [10].
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7570 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 8. 2024.
Odkazy
- [1] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024-37399-CVE-2024-37373?language=en_US
- [2] https://taranis.cesnet.cz/analyze/local
- [3] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593?language=en_US
- [4] https://rm-csm-emea.s3.eu-west-1.amazonaws.com/ITSM/SecurityPatch_2023.2_Cumulative_1.zip
- [5] https://rm-csm-emea.s3.eu-west-1.amazonaws.com/ITSM/SecurityPatch_2023.3_Cumulative_1.zip
- [6] https://rm-csm-emea.s3.eu-west-1.amazonaws.com/ITSM/SecurityPatch_2023.4_Cumulative_1.zip
- [7] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570
- [8] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593
- [9] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024-37399-CVE-2024-37373
- [10] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570?language=en_US