IvantiがAvalanche 6.4.3をリリース CVSS 9.8の深刻な脆弱性を修正：セキュリティニュースアラート

IvantiはMDMソリューション「Avalanche」のバージョン6.4.3をリリースした。今回のアップデートは2件の重大な脆弱性を含む27件の問題に対処した。修正された脆弱性の中にはシステムへの不正アクセスを許す可能性のあるものが含まれている。

[後藤大地，有限会社オングス]

　Ivantiは2024年4月17日（現地時間）、エンタープライズ向けのMDM（Mobile Device Management）ソリューション「Ivanti Avalanche」（以下、Avalanche）のバージョン6.4.3をリリースした。バージョン6.4.3では重大なセキュリティ上の不具合2件を含む、27件の脆弱（ぜいじゃく）性を修正している。

AvalancheにCVSS 9.8の脆弱性2件を確認　急ぎアップデートを

　Avalancheは、特に物流や製造業のような業務環境での大規模デバイス管理に適しており、「Android」や「iOS」「Windows」デバイスをサポートし、デバイスの詳細情報表示やWi-Fi設定、GPS取得、ソフトウェアの配布・削除、アラート通知、レポート作成など豊富な機能を提供している。過去にリモートコード実行（RCE）やサービス運用妨害（DoS）の脆弱性が報告されており、Ivantiはこれに対応するため定期的にソフトウェアアップデートを実施している。

　Avalanche バージョン6.4.3で修正された2件の重大な脆弱性は以下の通りだ。

• CVE-2024-24996：　Ivanti Avalanche 6.4.3以前の「WLInfoRailService」コンポーネントにヒープオーバーフローの脆弱性があり、認証されていないリモートの攻撃者に任意のコマンドを実行される可能性がある
• CVE-2024-29204：　Ivanti Avalanche 6.4.3以前のWLAvalancheServiceコンポーネントにヒープオーバーフローの脆弱性があり、認証されていないリモートの攻撃者に任意のコマンドを実行される可能性がある

　「CVE-2024-24996」「CVE-2024-29204」ともに共通脆弱性評価システム（CVSS）のスコア値で9.8に分類されている。この他にもリモートコード実行やサービス運用妨害、「SYSTEM」権限での任意のコマンドの実行、メモリからの機密情報読み取りといったリスクがある25件の脆弱性にもパッチが適用されている。

　Ivantiは公開時点で修正された脆弱性の悪用は確認されていないと報告している。Avalancheを使用している企業は速やかに最新のAvalanche 6.4.3にアップデートすることが強く推奨されている。