Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

DSA-2024-042 : Mise à jour de sécurité de Dell Unity, Dell Unity VSA et Dell Unity XT pour plusieurs failles de sécurité

Samenvatting: La mesure corrective Dell Unity, Dell Unity VSA et Dell Unity XT est disponible pour plusieurs failles de sécurité susceptibles d’être exploitées par des utilisateurs malveillants pour compromettre le système concerné. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Impact

Critical

Gegevens

Composant tiers CVE Informations supplémentaires
python-lxml  CVE-2022-2309 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-requêtes CVE-2018-18074 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Dell Technologies raadt aan dat alle klanten rekening houden met zowel de basisscore van CVSS als alle relevante tijdelijke en omgevingsscores die gevolgen kunnen hebben voor de mogelijke ernst van de specifieke beveiligingsproblemen.

Getroffen producten en herstel

CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Revisiegeschiedenis

RévisionDateDescription
1.02024-02-12Version initiale
2.02024-05-22Ajout de l’icône de lien externe sans autre modification du contenu.

Verwante informatie

Getroffen producten

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Artikeleigenschappen
Artikelnummer: 000222010
Artikeltype: Dell Security Advisory
Laatst aangepast: 14 aug. 2024
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.