DSA-2024-042: Beveiligingsupdate voor Dell Unity, Dell Unity VSA en Dell Unity XT voor meerdere beveiligingslekken
Summary: Dell Unity, Dell Unity VSA en Dell Unity XT herstel is beschikbaar voor meerdere beveiligingslekken die door kwaadwillende gebruikers kunnen worden misbruikt om het getroffen systeem in gevaar te brengen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Impact
Critical
Details
| Component van derden | CVE's | Meer informatie |
|---|---|---|
| Python-LMML | CVE-2022-2309 | Zie de NVD-link hieronder voor individuele scores voor elke CVE. http://nvd.nist.gov/  |
| python3-aanvragen | CVE-2018-18074 | Zie de NVD-link hieronder voor individuele scores voor elke CVE. http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 | Zie de NVD-link hieronder voor individuele scores voor elke CVE. http://nvd.nist.gov/ |
| Eigen code CVE's | Beschrijving | CVSS basisscore | CVSS vectortekenreeks |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cbr. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_udoctor. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_tcpdump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot de uitvoering van willekeurige besturingssysteemopdrachten met verhoogde bevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot Command Injection in svc_oscheck hulpprogramma. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige opdrachten voor het besturingssysteem te injecteren. Door dit beveiligingslek kan een geverifieerde aanvaller opdrachten uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige bestanden op het bestandssysteem te overschrijven met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de uitvoering van willekeurige opdrachten met verhoogde bevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_acldb_dump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot de injectie van besturingssysteemopdrachten in het hulpprogramma svc_dc. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid opdrachten uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cava. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_nas. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cifssupport. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot cross-site scripting. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken door sessiegegevens te stelen, zich voor te doen als de getroffen gebruiker of acties uit te voeren die deze gebruiker zou kunnen uitvoeren, of om de browser van het slachtoffer in het algemeen te beheren. | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity, versies ouder dan 5.4, bevat een kwetsbaarheid voor cross-site scripting (XSS). Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, waardoor gebruikers schadelijke software downloaden en uitvoeren die is gemaakt met de functie van dit product om hun systemen in gevaar te brengen. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot SQL-injectie. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot blootstelling van gevoelige informatie. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot path traversal in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek om ongeautoriseerde schrijftoegang te krijgen tot de bestanden die zijn opgeslagen op het bestandssysteem van de server, met verhoogde bevoegdheden. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Eigen code CVE's | Beschrijving | CVSS basisscore | CVSS vectortekenreeks |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cbr. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_udoctor. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_tcpdump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot de uitvoering van willekeurige besturingssysteemopdrachten met verhoogde bevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot Command Injection in svc_oscheck hulpprogramma. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige opdrachten voor het besturingssysteem te injecteren. Door dit beveiligingslek kan een geverifieerde aanvaller opdrachten uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige bestanden op het bestandssysteem te overschrijven met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de uitvoering van willekeurige opdrachten met verhoogde bevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_acldb_dump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot de injectie van besturingssysteemopdrachten in het hulpprogramma svc_dc. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid opdrachten uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cava. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_nas. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cifssupport. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot cross-site scripting. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken door sessiegegevens te stelen, zich voor te doen als de getroffen gebruiker of acties uit te voeren die deze gebruiker zou kunnen uitvoeren, of om de browser van het slachtoffer in het algemeen te beheren. | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity, versies ouder dan 5.4, bevat een kwetsbaarheid voor cross-site scripting (XSS). Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, waardoor gebruikers schadelijke software downloaden en uitvoeren die is gemaakt met de functie van dit product om hun systemen in gevaar te brengen. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot SQL-injectie. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot blootstelling van gevoelige informatie. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot path traversal in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek om ongeautoriseerde schrijftoegang te krijgen tot de bestanden die zijn opgeslagen op het bestandssysteem van de server, met verhoogde bevoegdheden. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Affected Products & Remediation
| CVE's aangepakt | Product | Software/firmware | Getroffen versies | Herstelde versies | Koppeling |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024-0164, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Dell Unity Operating Environment (OE) | Eerdere versies dan 5.4 | 5.4.0.0.5.094 of hoger | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| CVE's aangepakt | Product | Software/firmware | Getroffen versies | Herstelde versies | Koppeling |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024-0164, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Dell Unity Operating Environment (OE) | Eerdere versies dan 5.4 | 5.4.0.0.5.094 of hoger | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
Revision History
| Revisie | Datum | Beschrijving |
|---|---|---|
| 1.0 | 2024-02-12 | Eerste release |
| 2.0 | 2024-05-22 | Pictogram externe link toegevoegd zonder andere wijzigingen in de inhoud. |
Related Information
Legal Disclaimer
Affected Products
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000222010
Article Type: Dell Security Advisory
Last Modified: 14 Aug 2024
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.