Ve společnosti Ivanti se odhodláni dodávat zákazníkům inovativní, vysoce kvalitní a bezpečná řešení, tzv. Ivanti Endpoint Manager. Nedávno v Ivanti objevili dvě chyby zabezpečení, které ovlivňují Ivanti Endpoint Manager (EPM) verze 2022 a nižší. Oba mají skóre CVSS v rozsahu „střední“. Hlásíme je jako CVE-2023-35083 a CVE-2023-35084.
Poznámka: CVE-2023-38343 nahlášené 15. července 2023 je spíše duplikátem CVE 35083 a 35084 než další chybou zabezpečení.
Tato chyba zabezpečení se týká pouze EPM. Nejsou ovlivněny žádné další produkty Ivanti, včetně Ivanti Endpoint Manager Mobile, dříve známého jako MobileIron.
Využití CVE-2023-35083 umožňuje ověřenému útočníkovi získat přístup k serveru a číst soubory, které by mohly odhalit citlivé informace.
Využití CVE-2023-35084 umožňuje neověřenému útočníkovi se síťovým přístupem k Core serveru vzdáleně číst a exfiltrovat soubory, které by mohly odhalit citlivé informace.
Nemáme žádné důkazy o tom, že by žádní zákazníci byli postiženi některou z těchto zranitelností.
Nyní jsou k dispozici opravy obou zranitelností a oprava pro EPM 2022 Service Update 4 a nadcházející 2021.1 Service Release 5.
Další informace a podrobné pokyny k nápravě chyby zabezpečení naleznete v těchto bezpečnostních doporučeních:
Náš tým podpory je vždy připraven pomoci našim zákazníkům a partnerům, pokud budou mít jakékoli dotazy.
Zdroj: Ivanti
