Eviden,Atos旗下的一家企业,发布了一份安全公告,针对在其身份与公钥基础设施解决方案 IDPKI 中发现的多个漏洞进行说明。这些漏洞被追踪标识为 CVE – 2024 – 39327、CVE – 2024 – 39328 和 CVE – 2024 – 51505,可能会导致未经授权的访问和权限提升,给使用受影响产品的组织带来风险。
虽然这些漏洞不会暴露证书颁发机构(CA)的私钥,但它们可能会让未经授权的操作破坏 IDPKI 管理环境中的信任和完整性。
1.CVE – 2024 – 39327(通用漏洞评分系统(CVSS)评分为 9.9)允许未经授权的 CA 签名,攻击者有可能借此生成非法证书。
2.CVE – 2024 – 39328(CVSS 评分为 6.8)使得配置管理员用户在多分区环境中能够超越其权限,这有可能导致机密数据泄露。
3.CVE – 2024 – 51505(CVSS 评分为 8.0)允许配置管理员用户利用竞争条件来提升他们的权限。
Eviden已发布补丁来修复这些漏洞,并敦促客户尽快更新其 IDPKI 部署。该公司还提供了详细的缓解策略和临时解决方案,以帮助组织在实施必要更新期间保护其系统。由于基于角色的限制,IDPKI 的软件即服务(SaaS)版本不受 CVE – 2024 – 39328 和 CVE – 2024 – 51505 的影响。
| 产品 | 是否受影响 | 修复版本 |
| IDRA | 是 | 2.7.1 |
| IDRA SaaS | 部分受影响(仅 CVE – 2024 – 39327) | 2.7.1 |
| IDCA | 是(仅 CVE – 2024 – 39328) | 2.7.0 |
| IDCA SaaS | 不受影响 | 不适用 |
在发布公告之时,Eviden尚未观察到利用这些漏洞进行的实际攻击。Eviden敦促客户立即应用补丁,并使用检测脚本检查潜在的利用活动。