Synthèse
Ivanti publie des mises à jour de sécurité qui résolvent 49 vulnérabilités, dont 9 de gravité « critique » et 36 de gravité « élevée », dans les produits EPM (Endpoint Manager), ICS (Ivanti Connect Secure), IPS (Ivanti Policy Secure), ISAC ( Ivanti Secure Access Client) et Ivanti Avalanche.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,41/100)1.
Typologie
- Arbitrary Code Execution
- Arbitrary File Write/Read
- Data Manipulation
- Denial of Service
- Information Disclosure
- Privilege Escalation
Produits et versions concernés
Ivanti
- Endpoint Manager (EPM), version 2024, mise à jour de sécurité de septembre et versions antérieures
- Endpoint Manager (EPM), version 2022, mise à jour de sécurité SU6 de septembre et versions antérieures
- Connect Secure (ICS), version 22.7R2.2 et versions antérieures
- Policy Secure (IPS), version 22.7R1.1 et versions antérieures
- Secure Access Client (ISAC), version 22.7R3 et versions antérieures
- Avalanche, version 6.4.5 et antérieures
Mesures d’atténuation
Conformément aux déclarations de l’éditeur, il est recommandé de mettre à jour les produits vulnérables en suivant les indications des bulletins de sécurité rapportés dans la section Références.
Identificateurs de vulnérabilité uniques
Vous trouverez ci-dessous les CVE liés aux vulnérabilités de gravité « critique » et « élevée » :
Références
https://www.ivanti.com/blog/november-2024-security-update
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
