Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

DSA-2024-042 : Mise à jour de sécurité de Dell Unity, Dell Unity VSA et Dell Unity XT pour plusieurs failles de sécurité

Resumen: La mesure corrective Dell Unity, Dell Unity VSA et Dell Unity XT est disponible pour plusieurs failles de sécurité susceptibles d’être exploitées par des utilisateurs malveillants pour compromettre le système concerné. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Impacto

Critical

Detalles

Composant tiers CVE Informations supplémentaires
python-lxml  CVE-2022-2309 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-requêtes CVE-2018-18074 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Dell Technologies recomienda que todos los clientes tengan en cuenta tanto la puntuación base como cualquier otra puntuación ambiental y temporal relevante que pueda afectar la posible gravedad asociada con la vulnerabilidad de seguridad en particular.

Corrección y productos afectados

CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Historial de revisiones

RévisionDateDescription
1.02024-02-12Version initiale
2.02024-05-22Ajout de l’icône de lien externe sans autre modification du contenu.

Información relacionada

Productos afectados

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Propiedades del artículo
Número del artículo: 000222010
Tipo de artículo: Dell Security Advisory
Última modificación: 14 ago 2024
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.