Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

DSA-2024-042 : Mise à jour de sécurité de Dell Unity, Dell Unity VSA et Dell Unity XT pour plusieurs failles de sécurité

Résumé: La mesure corrective Dell Unity, Dell Unity VSA et Dell Unity XT est disponible pour plusieurs failles de sécurité susceptibles d’être exploitées par des utilisateurs malveillants pour compromettre le système concerné. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Impact

Critical

Détails

Composant tiers CVE Informations supplémentaires
python-lxml  CVE-2022-2309 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-requêtes CVE-2018-18074 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Dell Technologies recommande à tous les clients de prendre en compte à la fois le score de base CVSS et les scores temporels et environnementaux pertinents qui peuvent avoir un impact sur la gravité potentielle associée à une faille de sécurité donnée.

Produits concernés et mesure corrective

CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Historique des révisions

RévisionDateDescription
1.02024-02-12Version initiale
2.02024-05-22Ajout de l’icône de lien externe sans autre modification du contenu.

Informations connexes

Produits concernés

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Propriétés de l’article
Numéro d’article: 000222010
Type d’article: Dell Security Advisory
Dernière modification: 14 août 2024
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.