Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

DSA-2024-042: Beveiligingsupdate voor Dell Unity, Dell Unity VSA en Dell Unity XT voor meerdere beveiligingslekken

Samenvatting: Dell Unity, Dell Unity VSA en Dell Unity XT herstel is beschikbaar voor meerdere beveiligingslekken die door kwaadwillende gebruikers kunnen worden misbruikt om het getroffen systeem in gevaar te brengen. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Impact

Critical

Gegevens

Component van derden CVE's Meer informatie
Python-LMML  CVE-2022-2309 Zie de NVD-link hieronder voor individuele scores voor elke CVE. 
http://nvd.nist.gov/Deze hyperlink leidt u naar een website buiten Dell Technologies.
python3-aanvragen CVE-2018-18074 Zie de NVD-link hieronder voor individuele scores voor elke CVE. 
http://nvd.nist.gov/Deze hyperlink leidt u naar een website buiten Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 Zie de NVD-link hieronder voor individuele scores voor elke CVE. 
http://nvd.nist.gov/Deze hyperlink leidt u naar een website buiten Dell Technologies.

Eigen code CVE's Beschrijving CVSS basisscore CVSS vectortekenreeks
CVE-2024-22223
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cbr. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_udoctor. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0166 Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_tcpdump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot de uitvoering van willekeurige besturingssysteemopdrachten met verhoogde bevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot Command Injection in svc_oscheck hulpprogramma. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige opdrachten voor het besturingssysteem te injecteren. Door dit beveiligingslek kan een geverifieerde aanvaller opdrachten uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0167 Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige bestanden op het bestandssysteem te overschrijven met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0164
 
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de uitvoering van willekeurige opdrachten met verhoogde bevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_acldb_dump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot de injectie van besturingssysteemopdrachten in het hulpprogramma svc_dc. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid opdrachten uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cava. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_nas. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cifssupport. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot cross-site scripting. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken door sessiegegevens te stelen, zich voor te doen als de getroffen gebruiker of acties uit te voeren die deze gebruiker zou kunnen uitvoeren, of om de browser van het slachtoffer in het algemeen te beheren. 6.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-0169
 
Dell Unity, versies ouder dan 5.4, bevat een kwetsbaarheid voor cross-site scripting (XSS). Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, waardoor gebruikers schadelijke software downloaden en uitvoeren die is gemaakt met de functie van dit product om hun systemen in gevaar te brengen. 5.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-22221
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot SQL-injectie. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot blootstelling van gevoelige informatie. 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-22226
 
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot path traversal in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek om ongeautoriseerde schrijftoegang te krijgen tot de bestanden die zijn opgeslagen op het bestandssysteem van de server, met verhoogde bevoegdheden. 3.3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
Eigen code CVE's Beschrijving CVSS basisscore CVSS vectortekenreeks
CVE-2024-22223
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cbr. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_udoctor. Een geverifieerde kwaadwillende gebruiker met lokale toegang kan misbruik maken van dit beveiligingslek, waardoor willekeurige opdrachten voor het besturingssysteem van de toepassing met de bevoegdheden van de kwetsbare toepassing kunnen worden uitgevoerd op het onderliggende besturingssysteem van de toepassing. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0166 Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_tcpdump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot de uitvoering van willekeurige besturingssysteemopdrachten met verhoogde bevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot Command Injection in svc_oscheck hulpprogramma. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige opdrachten voor het besturingssysteem te injecteren. Door dit beveiligingslek kan een geverifieerde aanvaller opdrachten uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0167 Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid om willekeurige bestanden op het bestandssysteem te overschrijven met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0164
 
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_topstats. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de uitvoering van willekeurige opdrachten met verhoogde bevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_acldb_dump. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot het uitvoeren van willekeurige besturingssysteemopdrachten met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot de injectie van besturingssysteemopdrachten in het hulpprogramma svc_dc. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat leidt tot de mogelijkheid opdrachten uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cava. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_nas. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot het injecteren van besturingssysteemopdrachten in het hulpprogramma svc_cifssupport. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken, ontsnappen aan de beperkte shell en willekeurige opdrachten voor het besturingssysteem uitvoeren met rootbevoegdheden. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HDeze hyperlink leidt u naar een website buiten Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot cross-site scripting. Een geverifieerde aanvaller kan dit beveiligingslek misbruiken door sessiegegevens te stelen, zich voor te doen als de getroffen gebruiker of acties uit te voeren die deze gebruiker zou kunnen uitvoeren, of om de browser van het slachtoffer in het algemeen te beheren. 6.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-0169
 
Dell Unity, versies ouder dan 5.4, bevat een kwetsbaarheid voor cross-site scripting (XSS). Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, waardoor gebruikers schadelijke software downloaden en uitvoeren die is gemaakt met de functie van dit product om hun systemen in gevaar te brengen. 5.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-22221
 
Dell Unity, versies ouder dan 5.4, bevat een beveiligingslek met betrekking tot SQL-injectie. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek, wat kan leiden tot blootstelling van gevoelige informatie. 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
CVE-2024-22226
 
Dell Unity, versies ouder dan 5.4, bevatten een beveiligingslek met betrekking tot path traversal in het hulpprogramma svc_supportassist. Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek om ongeautoriseerde schrijftoegang te krijgen tot de bestanden die zijn opgeslagen op het bestandssysteem van de server, met verhoogde bevoegdheden. 3.3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:NDeze hyperlink leidt u naar een website buiten Dell Technologies.
Dell Technologies raadt aan dat alle klanten rekening houden met zowel de basisscore van CVSS als alle relevante tijdelijke en omgevingsscores die gevolgen kunnen hebben voor de mogelijke ernst van de specifieke beveiligingsproblemen.

Getroffen producten en herstel

CVE's aangepakt Product Software/firmware Getroffen versies Herstelde versies Koppeling
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024-0164, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Dell Unity Operating Environment (OE) Eerdere versies dan 5.4 5.4.0.0.5.094 of hoger https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
CVE's aangepakt Product Software/firmware Getroffen versies Herstelde versies Koppeling
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024-0164, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE-2024-2224, CVE-2024 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Dell Unity Operating Environment (OE) Eerdere versies dan 5.4 5.4.0.0.5.094 of hoger https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Revisiegeschiedenis

RevisieDatumBeschrijving
1.02024-02-12Eerste release
2.02024-05-22Pictogram externe link toegevoegd zonder andere wijzigingen in de inhoud.

Verwante informatie

Getroffen producten

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Artikeleigenschappen
Artikelnummer: 000222010
Artikeltype: Dell Security Advisory
Laatst aangepast: 14 aug. 2024
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.