Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalen data: 2019/12/17

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Dell EMC XtremIO X2 XMS, 6.3.0 bertsioa baino lehenagokoak.

Azalpena:

Lukasz Plonka-k hiru ahultasun aurkitu ditu Dell EMCren XtremIO produktuan, bat larritasun kritikokoa eta besteak larritasun ertainekoak. Ahultasun horiek baliatuz urruneko erasotzaile batek arriskuan jar lezake kaltetutako sistema.

Konponbidea:

Dell EMC XtremIO XMS 6.3.0 bertsiora edo berriagora eguneratzea.

Xehetasuna:

• Larritasun kritikoko ahultasuna baliatuz, urruneko sarbidea lukeen eta ahultasuna baliatzeko pribilegioen maila baxua lukeen erasotzaile batek biltegiratutako XSS (Cross-Site Scripting) erako eraso bat egin lezake, eta aplikazioaren eremuetan asmo gaiztoko HTML edo JavaScript kodea gorde lezake. Erabiltzaileak beren nabigatzaileen bitartez orrialde injektatura sartzen direnean, web nabigatzaileak asmo gaiztoko kodea exekuta dezake web aplikazio ahularen testuinguruan. Ahultasun horretarako CVE-2019-18578 identifikatzailea erreserbatu da.
• Larritasun ertaineko ahultasunak honakoak dira: 
• • Informazioren hedapen erako ahultasun bat aurkitu da, sistema eragileko erabiltzaileen pasahitzak fitxategi lokaletan gordetzen dituena. Erregistroko fitxategietara sarbidea lukeen erasotzaile lokal batek agerian utzitako pasahitzak erabil litzake XtremIOra sartzeko, kaltetutako erabiltzailearen pribilegioekin. Ahultasun horretarako CVE-2019-18576 identifikatzailea erreserbatu da.
  • Baimenen esleitze oker erako ahultasun bat baliatzea lortuz gero, XtremIO-n xinstall pribilegioak lituzkeen erasotzaile lokal batek root-era sarbidea lor lezake. Ahultasun horretarako CVE-2019-18577 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna