Argitalpen data: 2019/12/10
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- Dell EMC Data Protection Advisor, honako bertsioak:
- 6.3;
- 6.4;
- 6.5;
- 18.1;
- patch 83 baino lehenagoko 18.2;
- patch 71 baino lehenagoko 19.1.
- Integrated Data Protection Appliance, honako bertsioak:
Azalpena:
DPA aplikazioaren API REST-ak, Dell EMC
Data Protection Advisor-en softwarearen barnean, zuzenketak ditu hainbat
ahultasunetarako, kaltetutako sistema arriskuan jartzeko baliatuak izan
litezkeenak erasotzaileen aldetik.
Konponbidea:
Dell EMCren zerbitzu atarian
erregistratutako erabiltzaileek ondoren zerrendatzen diren bertsioak deskarga
ditzakete ahultasunak zuzentzeko:
- Dell EMC Data Protection Advisor, honako bertsioak:
- 19.2;
- patch 71 edo ondorengoa duen 19.1;
- patch 83 edo ondorengoa duen 18.2;
- 6.3, 6.4, 6.5, edo 18.1 bertsioen kasuan:18.2 bertsioko patch 83 edo berriagora eguneratzea, edo 19.1 bertsioko patch 71 edo berriagora.
- Integrated Data Protection Appliance:
- 2.0, 2.1 edo 2.2 bertsioen kasuan:2.3
bertsiora eguneratzea eta Dell EMC Data Protection Advisor-en 18.2 bertsioko patch
83 edo berriagora eguneratzea;
- 2.3 edo 2.4 bertsioen kasuan:Dell EMC Data Protection Advisor-en 18.2 bertsioko patch 83 edo berriagora eguneratzea.
Xehetasuna:
- Autentifikazio gabezi erako ahultasuna dago API RESTen zerbitzarian. Pribilegio administratiboak lituzkeen asmo gaiztoko urruneko erabiltzaile batek ahultasun hau balia lezake aplikazioko sistema eragileko komandoen zerrenda baimendua aldatzeko. Horren ondorioz sistema eragilearen komandoen exekuzio arbitrarioa gerta liteke, erabiltzaile normalak DPA zerbitzua kaltetutako sisteman exekutatzen baitu. Ahultasun horretarako CVE-2019-18581 identifikatzailea erreserbatu da.
- Txantiloiaren injekzio erako ahultasuna aurkitu da API RESTeko zerbitzariaren aldean. Pribilegio administratiboak lituzkeen asmo gaiztoko urruneko erabiltzaile batek ahultasun hau balia lezake zerbitzarian asmo gaiztoko txostenak sortzeko script-ak injektatzeko. Horren ondorioz sistema eragilearen komandoen exekuzioa gerta liteke, erabiltzaile normalak DPA zerbitzua kaltetutako produktuan exekutatzen baitu. Ahultasun horretarako CVE-2019-18582 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna