Argitalen data: 2019/12/17
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
Dell
EMC XtremIO X2 XMS, 6.3.0 bertsioa baino lehenagokoak.
Azalpena:
Lukasz Plonka-k hiru ahultasun aurkitu ditu
Dell EMCren XtremIO produktuan, bat larritasun kritikokoa eta besteak
larritasun ertainekoak. Ahultasun horiek baliatuz urruneko erasotzaile batek
arriskuan jar lezake kaltetutako sistema.
Konponbidea:
Dell EMC XtremIO XMS 6.3.0 bertsiora edo
berriagora eguneratzea.
Xehetasuna:
- Larritasun kritikoko ahultasuna baliatuz,
urruneko sarbidea lukeen eta ahultasuna baliatzeko pribilegioen maila baxua
lukeen erasotzaile batek biltegiratutako XSS (Cross-Site Scripting) erako eraso
bat egin lezake, eta aplikazioaren eremuetan asmo gaiztoko HTML edo JavaScript
kodea gorde lezake. Erabiltzaileak beren nabigatzaileen bitartez orrialde
injektatura sartzen direnean, web nabigatzaileak asmo gaiztoko kodea exekuta
dezake web aplikazio ahularen testuinguruan. Ahultasun horretarako
CVE-2019-18578 identifikatzailea erreserbatu da.
- Larritasun ertaineko ahultasunak honakoak dira:
- Informazioren hedapen erako ahultasun bat
aurkitu da, sistema eragileko erabiltzaileen pasahitzak fitxategi lokaletan
gordetzen dituena. Erregistroko fitxategietara sarbidea lukeen erasotzaile
lokal batek agerian utzitako pasahitzak erabil litzake XtremIOra sartzeko,
kaltetutako erabiltzailearen pribilegioekin. Ahultasun horretarako
CVE-2019-18576 identifikatzailea erreserbatu da.
- Baimenen esleitze oker erako ahultasun bat baliatzea lortuz gero, XtremIO-n xinstall pribilegioak lituzkeen erasotzaile
lokal batek root-era sarbidea lor lezake. Ahultasun horretarako CVE-2019-18577
identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna