Dell EMC retter VMAX og Isilon

To alvorlige sårbarheder i Dell EMC VMAX Virtual Appliance (vApp) Manager er fjernet. Den ene består i en standardkonto med et fast password. Kontoen kan bruges af web-servlets.

Den anden sårbarhed giver mulighed for at uploade filer til vilkårlige placeringer på systemet. Hvis en angriber kombinerer de to sårbarheder, kan vedkommende kompromittere systemets sikkerhed.

Fejlene er rettet i disse versioner:

• Dell EMC Unisphere for VMAX Virtual Appliance 8.4.0.18 OVA hotfix 1090, service alert 1059
• Dell EMC Unisphere for VMAX Virtual Appliance 8.4.0.18 ISO upgrade hotfix 1089, service alert 1058
• Dell EMC Solutions Enabler Virtual Appliance 8.4.0.21 OVA hotfix 2058, service alert 1891
• Dell EMC Solutions Enabler Virtual Appliance 8.4.0.21 ISO upgrade hotfix 2057, service alert 1890
• Dell EMC VASA Virtual Appliance 8.4.0.516 OVA
• Dell EMC VASA Virtual Appliance 8.4.0.516 ISO upgrade
• eManagement 1.4.0.355 (Service Pack 6848)

Endvidere har Dell EMC lukket ni alvorlige sikkerhedshuller i Isilon OneFS. En af sårbarhederne er af typen cross-site request forgery (CSRF). Flere af de andre giver mulighed for at få øgede privilegier.

Dell ECM har udsendt rettelser, der lukker hullerne.

Anbefaling

Test og installer sikkerhedsopdateringerne.

Links

• DSA-2018-024: Dell EMC VMAX Virtual Appliance (vApp) Manager Multiple Vulnerabilities
• Dell EMC squashes pair of VMAX virtual appliance bugs, artikel fra The Register
• Dell EMC Patches Critical Flaws in VMAX Enterprise Storage Systems, artikel fra Kaspersky Threatpost
• Dell EMC Isilon OneFS Multiple Vulnerabilities, information fra Core Security
• Nine Remotely Exploitable Vulnerabilities Found in Dell EMC Storage Platform, artikel fra SecurityWeek