Ivanti Endpoint Managerの最新アップデートを公開 CVSS10.0を含む複数の脆弱性を修正：セキュリティニュースアラート

IvantiはIT資産管理ソリューションIvanti Endpoint Manager 2024および2022 SU6のリリースを通じて重大な脆弱性16件を修正した。このアップデートには10件の特に重大な問題が含まれている。

[後藤大地，有限会社オングス]

　Ivantiは2024年9月10日（現地時間）、「Ivanti Endpoint Manager 2024」および「Ivanti Endpoint Manager 2022 SU6」をリリースした。重大なセキュリティの不具合10件を含む、16件の脆弱（ぜいじゃく）性が修正されている。

　Ivanti Endpoint Managerは、企業がIT資産やエンドポイントデバイス（PCやモバイルなど）を一元管理するためのソリューションだ。ソフトウェア配布やパッチ管理、セキュリティ設定、リモート管理などの機能を提供し、効率的なIT管理とセキュリティ強化を支援する。企業内の多くのエンドポイントデバイスを管理しているため、Ivanti Endpoint Managerに重大な脆弱性がある場合には重大なリスクとなる。

Ivanti Endpoint Managerに16件の脆弱性　CVSSスコア10.0のものもあり

　Ivanti Endpoint Manager 2024およびIvanti Endpoint Manager 2022 SU6で修正された10件の重大な脆弱性は以下の通りだ。

• CVE-2024-32840（CVSS：9.1）、CVE-2024-32842（CVSS：9.1）、CVE-2024-32843（CVSS：9.1）、CVE-2024-32845（CVSS：9.1）、CVE-2024-32846（CVSS：9.1）、CVE-2024-32848（CVSS：9.1）、CVE-2024-34779（CVSS：9.1）、CVE-2024-34783（CVSS：9.1）、CVE-2024-34785（CVSS：9.1）：　未指定のSQLインジェクションの脆弱性。認証されていない攻撃者によるリモートコード実行の危険性がある
• CVE-2024-29847（CVSS：10.0）：　信頼されていないデータのデシリアライズに関する脆弱性。認証されていない攻撃者によるリモートコード実行の危険性がある

　影響を受けるIvanti Endpoint Managerのバージョンは以下の通りだ。

• Ivanti Endpoint Manager 2024で2024年7月および同年9月のセキュリティパッチを適用していない場合
• Ivanti Endpoint Manager 2022 SU5およびこれ以前のバージョン

　公開時点で修正された脆弱性の悪用は確認されていないと報告している。Ivanti Endpoint Managerを使用しているエンタープライズは速やかにアップデートすることが強く望まれる。