Article Number: 000222010
DSA-2024-042: 複数の脆弱性に対するDell Unity、Dell Unity VSA、およびDell Unity XTセキュリティ アップデート
Summary: Dell Unity、Dell Unity VSA、Dell Unity XTの修復は、影響を受けるシステムを侵害するために悪意のあるユーザーによって悪用される可能性のある複数のセキュリティ脆弱性に対して利用できます。
Article Content
Impact
Critical
Details
| サード パーティー製コンポーネント | CVE | 詳細情報 |
|---|---|---|
| python-lxml (英語) | CVE-2022-2309 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/  |
| python3リクエスト | CVE-2018-18074 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/ |
| python3 - urllib3 | CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/ |
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cbrユーティリティー内にOSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
5.4より前のバージョンのDell Unityのsvc_udoctorユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | 5.4より前のバージョンのDell Unityのsvc_tcpdumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4より前のバージョンのDell Unityには、svc_oscheckユーティリティーにコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、任意のオペレーティング システム コマンドを注入する可能性があります。この脆弱性により、認証された攻撃者がroot権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4より前のバージョンのDell Unityでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でファイル システム上の任意のファイルを上書きする可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4より前のバージョンでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
5.4より前のバージョンのDell Unityのsvc_acldb_dumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unityバージョン5.4より前のバージョンでは、svc_supportassistユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4より前のバージョンでは、svc_dcユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
5.4より前のバージョンのDell Unityのsvc_cavaユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
5.4より前のバージョンのDell Unityのsvc_nasユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cifssupportユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティングの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、セッション情報を盗んだり、該当ユーザーになりすましたり、このユーザーが実行できるアクションを実行したり、被害者のブラウザを一般的に制御したりする可能性があります。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティング(XSS)の脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、ユーザーがこの製品の機能によって細工された悪意のあるソフトウェアをダウンロードして実行し、システムを侵害する可能性があります。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
5.4より前のバージョンのDell Unityには、SQLインジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、機密情報の漏えいにつながる可能性があります。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4より前のバージョンでは、svc_supportassistユーティリティーにパス トラバーサルの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限でサーバー ファイルシステムに保存されているファイルに不正な書き込みアクセスを行う可能性があります。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cbrユーティリティー内にOSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
5.4より前のバージョンのDell Unityのsvc_udoctorユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | 5.4より前のバージョンのDell Unityのsvc_tcpdumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4より前のバージョンのDell Unityには、svc_oscheckユーティリティーにコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、任意のオペレーティング システム コマンドを注入する可能性があります。この脆弱性により、認証された攻撃者がroot権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4より前のバージョンのDell Unityでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でファイル システム上の任意のファイルを上書きする可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4より前のバージョンでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
5.4より前のバージョンのDell Unityのsvc_acldb_dumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unityバージョン5.4より前のバージョンでは、svc_supportassistユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4より前のバージョンでは、svc_dcユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
5.4より前のバージョンのDell Unityのsvc_cavaユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
5.4より前のバージョンのDell Unityのsvc_nasユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cifssupportユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティングの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、セッション情報を盗んだり、該当ユーザーになりすましたり、このユーザーが実行できるアクションを実行したり、被害者のブラウザを一般的に制御したりする可能性があります。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティング(XSS)の脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、ユーザーがこの製品の機能によって細工された悪意のあるソフトウェアをダウンロードして実行し、システムを侵害する可能性があります。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
5.4より前のバージョンのDell Unityには、SQLインジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、機密情報の漏えいにつながる可能性があります。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4より前のバージョンでは、svc_supportassistユーティリティーにパス トラバーサルの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限でサーバー ファイルシステムに保存されているファイルに不正な書き込みアクセスを行う可能性があります。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Affected Products and Remediation
| 対応済みのCVE | 製品 | ソフトウェア/ファームウェア | 影響を受けるバージョン | 修復されたバージョン | リンク |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity操作環境(OE) | 5.4より前のバージョン | 5.4.0.0.5.094以降 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| 対応済みのCVE | 製品 | ソフトウェア/ファームウェア | 影響を受けるバージョン | 修復されたバージョン | リンク |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity操作環境(OE) | 5.4より前のバージョン | 5.4.0.0.5.094以降 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
Revision History
| リビジョン | 日付 | 説明 |
|---|---|---|
| 1.0 | 2024-02-12 | イニシャルリリース |
| 2.0を切り替える方法 | 2024-05-22 | 外部リンク アイコンを追加しましたが、コンテンツにその他の変更はありません。 |
Related Information
Legal Information
Article Properties
Affected Product
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Unity Hybrid flash, Dell Unity Operating Environment (OE), UnityVSA, Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Last Published Date
23 May 2024
Article Type
Dell Security Advisory