Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

ДСА-2024-042: Обновление системы безопасности Dell Unity, Dell Unity VSA и Dell Unity XT для устранения нескольких уязвимостей

Résumé: Решения Dell Unity, Dell Unity VSA и Dell Unity XT доступны для устранения нескольких уязвимостей системы безопасности, которые могут быть использованы злоумышленниками для взлома уязвимой системы. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Impact

Critical

Détails

Компонент стороннего производителя CVE Дополнительная информация
python-lxml  CVE-2022-2309 См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. 
http://nvd.nist.gov/Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
python3-запросы CVE-2018-18074 См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. 
http://nvd.nist.gov/Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324 и CVE-2020-26116 См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. 
http://nvd.nist.gov/Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Проприетарный код CVE Описание CVSS Базовая оценка CVSS Векторная строка
CVE-2024-22223
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в служебной программе svc_cbr. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22222
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_udoctor утилите. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0166 Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_tcpdump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС с повышенными привилегиями. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0168
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд в svc_oscheck утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к внедрению произвольных команд операционной системы. Эта уязвимость позволяет аутентифицированному злоумышленнику выполнять команды с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0167 Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС в утилите svc_topstats. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, что позволит перезаписать произвольные файлы в файловой системе с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0164
 
Dell Unity версии до 5.4 содержат уязвимость, связанную с внедрением команд ОС, в утилите svc_topstats. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд с повышенными привилегиями. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0165
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_acldb_dump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22225
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_supportassist утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22227
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_dc утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к возможности выполнять команды с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0170
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cava. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22224
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_nas. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22228
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cifssupport. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22230
 
В Dell Unity версии до 5.4 содержится уязвимость, связанная с межсайтовым выполнением сценариев. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, украсв информацию о сеансе, выдав себя за пострадавшего пользователя или выполнив любые действия, которые может выполнить этот пользователь, или вообще для управления браузером жертвы. 6,4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-0169
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с межсайтовым использованием сценариев (XSS). Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, заставляя пользователей загружать и выполнять вредоносное программное обеспечение, созданное этой функцией продукта, чтобы скомпрометировать свои системы. 5.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-22221
 
В Dell Unity версии до 5.4 содержится уязвимость, связанная с внедрением кода SQL. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к раскрытию конфиденциальной информации. 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-22226
 
Dell Unity версии до 5.4 содержат уязвимость, связанную с обходом пути, в утилите svc_supportassist. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, чтобы получить несанкционированный доступ для записи к файлам, хранящимся в файловой системе сервера, с повышенными привилегиями. 3.3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Проприетарный код CVE Описание CVSS Базовая оценка CVSS Векторная строка
CVE-2024-22223
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в служебной программе svc_cbr. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22222
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_udoctor утилите. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0166 Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_tcpdump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС с повышенными привилегиями. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0168
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд в svc_oscheck утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к внедрению произвольных команд операционной системы. Эта уязвимость позволяет аутентифицированному злоумышленнику выполнять команды с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0167 Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС в утилите svc_topstats. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, что позволит перезаписать произвольные файлы в файловой системе с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0164
 
Dell Unity версии до 5.4 содержат уязвимость, связанную с внедрением команд ОС, в утилите svc_topstats. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд с повышенными привилегиями. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0165
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_acldb_dump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22225
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_supportassist утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22227
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_dc утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к возможности выполнять команды с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-0170
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cava. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22224
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_nas. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22228
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cifssupport. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

 
CVE-2024-22230
 
В Dell Unity версии до 5.4 содержится уязвимость, связанная с межсайтовым выполнением сценариев. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, украсв информацию о сеансе, выдав себя за пострадавшего пользователя или выполнив любые действия, которые может выполнить этот пользователь, или вообще для управления браузером жертвы. 6,4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-0169
 
Dell Unity версии до 5.4 содержит уязвимость, связанную с межсайтовым использованием сценариев (XSS). Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, заставляя пользователей загружать и выполнять вредоносное программное обеспечение, созданное этой функцией продукта, чтобы скомпрометировать свои системы. 5.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-22221
 
В Dell Unity версии до 5.4 содержится уязвимость, связанная с внедрением кода SQL. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к раскрытию конфиденциальной информации. 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
CVE-2024-22226
 
Dell Unity версии до 5.4 содержат уязвимость, связанную с обходом пути, в утилите svc_supportassist. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, чтобы получить несанкционированный доступ для записи к файлам, хранящимся в файловой системе сервера, с повышенными привилегиями. 3.3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:NЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Dell Technologies recommande à tous les clients de prendre en compte à la fois le score de base CVSS et les scores temporels et environnementaux pertinents qui peuvent avoir un impact sur la gravité potentielle associée à une faille de sécurité donnée.

Produits concernés et mesure corrective

Устранено CVE Продукт Программное обеспечение/микропрограмма Затронутые версии Исправленные версии Ссылка
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE24-22224 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Операционная среда Dell Unity (OE) Версии до 5.4 5.4.0.0.5.094 и более поздние версии https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
Устранено CVE Продукт Программное обеспечение/микропрограмма Затронутые версии Исправленные версии Ссылка
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE24-22224 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Операционная среда Dell Unity (OE) Версии до 5.4 5.4.0.0.5.094 и более поздние версии https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Historique des révisions

РедакцияДатаОписание
1.02024-02-12Первоначальный выпуск
2.02024-05-22Добавлен значок внешней ссылки без каких-либо других изменений в содержимом.

Informations connexes

Produits concernés

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Propriétés de l’article
Numéro d’article: 000222010
Type d’article: Dell Security Advisory
Dernière modification: 14 août 2024
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.