【安全圈】Atos旗下Eviden公司紧急发布安全公告:IDPKI解决方案曝出高危漏洞
【安全圈】Atos旗下Eviden公司紧急发布安全公告:IDPKI解决方案曝出高危漏洞
安全圈 2025-02-23 11:01
关键词
安全漏洞
近日,Atos集团旗下Eviden公司发布紧急安全公告,披露在其推出的身份与公钥基础设施解决方案IDPKI中发现了多个安全漏洞。
这些漏洞的CVE编号分别为CVE-2024-39327、CVE-2024-39328和CVE-2024-51505,可能导致未经授权的访问和权限提升,对使用该解决方案的用户组织构成重大安全风险。
虽然这些漏洞不会泄露证书颁发机构(CA)的私钥,但攻击者可能利用它们破坏IDPKI管理环境中的信任链和系统完整性。具体而言:
1. CVE-2024-39327:该漏洞的CVSS评分高达9.9,属于严重级别。攻击者可利用此漏洞进行未经授权的CA签名操作,从而生成非法数字证书,可能导致证书链信任关系被破坏。
-
CVE-2024-39328:该漏洞的CVSS评分为6.8,属于中危级别。在多分区环境场景下,配置管理员用户可能超越其权限范围,存在机密数据泄露的风险。
-
CVE-2024-51505:该漏洞的CVSS评分为8.0,属于高危级别。配置管理员用户可能通过竞争条件提升自身权限,进一步威胁系统安全。
Eviden公司已发布了针对上述漏洞的修复补丁,并强烈建议用户尽快升级其IDPKI部署版本至最新版。此外,该公司还提供了详细的缓解措施和临时解决方案,帮助用户在完成更新前有效降低风险。
以下是受影响产品及修复信息:
| 产品 | 是否受影响 | 修复版本 |
|---|---|---|
| IDRA | 是 | 2.7.1 |
| IDRA SaaS | 部分受影响(仅CVE-2024-39327) | 2.7.1 |
| IDCA | 是(仅CVE-2024-39328) | 2.7.0 |
| IDCA SaaS | 不受影响 | 不适用 |
需要注意的是,IDPKI的软件即服务(SaaS)版本由于基于角色的权限限制,不会受到CVE-2024-39328和CVE-2024-51505的影响。
Eviden公司表示,截至公告发布时,尚未监测到利用这些漏洞的实际攻击活动。然而,公司仍建议客户立即部署修复补丁,并使用官方提供的检测脚本对系统进行全面检查,以排查潜在的利用痕迹。
用户建议:
1. 立即访问Eviden官方支持平台,下载并安装最新补丁;
-
在完成修复前,按照官方建议启用临时缓解措施;
-
定期检查系统日志,分析是否存在异常行为;
-
加强权限管理,确保用户权限与其角色严格匹配。
Eviden公司承诺将持续监控漏洞态势,并在必要时提供进一步技术支持。用户如有疑问或需要协助,可通过官方渠道联系安全团队。
END
阅读推荐
【安全圈】微软Power Pages权限提升漏洞被黑客利用,紧急修复中
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!