Bash "Уразливість Shell Shock" у віртуальному виданні Dell Data Protection

Summary: У цій статті наведено інформацію про уразливість системи безпеки Shell shock Bash Bug CVE-2014-6271 і її вплив на захист даних Dell | Програмне забезпечення Virtual Edition.

Αυτό το άρθρο ισχύει για Αυτό το άρθρο δεν ισχύει για Αυτό το άρθρο δεν συνδέεται με κάποιο συγκεκριμένο προϊόν. Δεν προσδιορίζονται όλες οι εκδόσεις προϊόντων σε αυτό το άρθρο.
Δείτε άλλους πόρους

Symptoms

Продукти, що зазнали впливу:

  • Захист даних Dell | Віртуальне видання

Уражені версії:

  • v9.2 і більш ранні версії

Перевірте наявність цієї вразливості, запустивши таку команду з рядка оболонки bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Якщо на виході з'являється слово вразливий, значить, машина вразлива для експлойту.

Навіть з уразливістю зловмисник повинен мати доступ до певного порту на сервері VE, щоб використовувати експлойт.

Найкраще практикувати захист даних Dell | Сервер Virtual Edition - це не вихід з Інтернету, а скоріше проксі-сервіси, які слід використовувати для вимог Інтернету.

Якщо захист даних Dell | Virtual Edition не стикається з Інтернетом, проблема ShellShock не може бути використана за межами організації.

Cause

Попередні версії Dell Data Protection | Virtual Edition схильні до експлойту в оболонці bash, описаної в Ubuntu Security Notice USN-2362-1, зазвичай згадується як уразливість Shell Shock.

Параметри випуску:

  • Захист даних Dell | Консоль Virtual Edition і SSH сервер використовує оболонку bash, яка може бути використана шляхом передачі кінцевого коду в оболонку bash і отримання несанкціонованого доступу до командного середовища.
  • Ця вразливість відсутня в Dell Data Protection | Шифрування Програмне забезпечення для автентифікації перед завантаженням (PBA), як-от керування диском із самошифруванням (SED), а також прискорювач апаратного шифрування (HCA), що використовується для автентифікації клієнтів.

Resolution

Проблему вирішено в Dell Data Protection | Virtual Edition v9.3 і новіші.

Щоб вирішити цю проблему:

  1. Відкрийте консоль віддаленого робочого стола Virtual Edition.
  2. Виберіть опцію Launch Shell у головному меню та виконайте такі дії:
  3. Введіть команду: su ddpsupport
  4. Натисніть клавішу Enter.
  5. Коли з'явиться запит, введіть пароль, встановлений ddpsupport для користувача.
  6. Є запит на оновлення, який починається з ddpsupport@.
  7. Введіть команду: sudo apt-get update
    • Ця команда зв'язується з серверами оновлення Ubuntu за допомогою Інтернету і запитує відповідні необхідні оновлення.
  8. Введіть команду: sudo apt-get install bash

Після завершення оновлення переконайтеся, що оновлення усунуло цей дефект, повторивши тестування.

Примітка: Що слова вразливий немає у виводі команди: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Щоб зв'язатися зі службою підтримки, зверніться до служби телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб створити запит на технічну підтримку онлайн.
Щоб отримати додаткові аналітичні дані та ресурси, приєднайтеся до форуму спільноти Dell Security Community.

Additional Information

Більше довідкового матеріалу

CVE-2014-6271За допомогою цього гіперпосилання ви перейдете на веб-сайт за межами Dell Technologies. на веб-сайті NIST

Επηρεαζόμενα προϊόντα

Dell Encryption
Ιδιότητες άρθρου
Article Number: 000129498
Article Type: Solution
Τελευταία τροποποίηση: 13 Σεπ 2023
Version:  9
Βρείτε απαντήσεις στις ερωτήσεις σας από άλλους χρήστες της Dell
Υπηρεσίες υποστήριξης
Ελέγξτε αν η συσκευή σας καλύπτεται από τις Υπηρεσίες υποστήριξης.