Article Number: 000222010

DSA-2024-042: Sikkerhedsopdatering til Dell Unity, Dell Unity VSA og Dell Unity XT til flere sårbarheder

Summary: Dell Unity, Dell Unity VSA og Dell Unity XT-afhjælpning er tilgængelig for flere sikkerhedssårbarheder, der kan udnyttes af ondsindede brugere til at kompromittere det berørte system.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Impact

Critical

Details

Tredjepartskomponent	CVE'er	Yderligere oplysninger
python-lxml	CVE-2022-2309	Se NVD-linket nedenfor for individuelle scorer for hver CVE. http://nvd.nist.gov/
python3-anmodninger	CVE-2018-18074	Se NVD-linket nedenfor for individuelle scorer for hver CVE. http://nvd.nist.gov/
python3-urllib3	CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116	Se NVD-linket nedenfor for individuelle scorer for hver CVE. http://nvd.nist.gov/

Navnebeskyttede CVE-koder	Beskrivelse	CVSS Basisscore	CVSS Vektorstreng
CVE-2024-22223	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af operativsystemkommandoer i svc_cbr-hjælpeprogrammet. En godkendt ondsindet bruger med lokal adgang kan potentielt udnytte denne sårbarhed, hvilket fører til udførelse af vilkårlige OS-kommandoer på programmets underliggende operativsystem med rettighederne fra det sårbare program.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22222	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_udoctor-hjælpeprogrammet. En godkendt ondsindet bruger med lokal adgang kan potentielt udnytte denne sårbarhed, hvilket fører til udførelse af vilkårlige OS-kommandoer på programmets underliggende operativsystem med rettighederne fra det sårbare program.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0166	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_tcpdump hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige OS-kommandoer med administratorrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0168	Dell Unity, versioner før 5.4, indeholder en sårbarhed i svc_oscheck kommandoinjektion. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket fører til muligheden for at indsætte vilkårlige operativsystemkommandoer. Denne sårbarhed gør det muligt for en godkendt hacker at udføre kommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0167	Dell Unity, versioner før 5.4, indeholder en sikkerhedsrisiko med indsættelse af OS-kommandoer i hjælpeprogrammet til svc_topstats. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket fører til muligheden for at overskrive vilkårlige filer på filsystemet med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0164	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_topstats hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige kommandoer med administratorrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0165	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_acldb_dump hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22225	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af operativsystemkommandoer i svc_supportassist-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22227	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_dc hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket giver mulighed for at udføre kommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0170	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_cava-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22224	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_nas-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22228	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_cifssupport hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22230	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med scripting på tværs af websteder. En godkendt hacker kan potentielt udnytte denne sårbarhed ved at stjæle sessionsoplysninger, udgive sig for at være den berørte bruger eller udføre handlinger, som denne bruger kan udføre, eller generelt kontrollere offerets browser.	6.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CVE-2024-0169	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med scripting på tværs af websteder (XSS). En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket får brugerne til at downloade og udføre skadelig software, der er udformet af dette produkts funktion, for at kompromittere deres systemer.	5.7	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
CVE-2024-22221	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med SQL-injektion. En godkendt hacker kan potentielt udnytte denne sårbarhed og føre til eksponering af følsomme oplysninger.	4.5	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
CVE-2024-22226	Dell Unity, versioner før 5.4, indeholder en svaghed i forbindelse med stikrydsning i svc_supportassist-værktøjet. En godkendt hacker kan potentielt udnytte denne sårbarhed til at få uautoriseret skriveadgang til de filer, der er gemt på serverens filsystem, med administratorrettigheder.	3.3	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Navnebeskyttede CVE-koder	Beskrivelse	CVSS Basisscore	CVSS Vektorstreng
CVE-2024-22223	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af operativsystemkommandoer i svc_cbr-hjælpeprogrammet. En godkendt ondsindet bruger med lokal adgang kan potentielt udnytte denne sårbarhed, hvilket fører til udførelse af vilkårlige OS-kommandoer på programmets underliggende operativsystem med rettighederne fra det sårbare program.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22222	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_udoctor-hjælpeprogrammet. En godkendt ondsindet bruger med lokal adgang kan potentielt udnytte denne sårbarhed, hvilket fører til udførelse af vilkårlige OS-kommandoer på programmets underliggende operativsystem med rettighederne fra det sårbare program.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0166	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_tcpdump hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige OS-kommandoer med administratorrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0168	Dell Unity, versioner før 5.4, indeholder en sårbarhed i svc_oscheck kommandoinjektion. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket fører til muligheden for at indsætte vilkårlige operativsystemkommandoer. Denne sårbarhed gør det muligt for en godkendt hacker at udføre kommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0167	Dell Unity, versioner før 5.4, indeholder en sikkerhedsrisiko med indsættelse af OS-kommandoer i hjælpeprogrammet til svc_topstats. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket fører til muligheden for at overskrive vilkårlige filer på filsystemet med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0164	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_topstats hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige kommandoer med administratorrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0165	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_acldb_dump hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22225	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af operativsystemkommandoer i svc_supportassist-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket kan føre til udførelse af vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22227	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_dc hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket giver mulighed for at udføre kommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0170	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_cava-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22224	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med indsættelse af operativsystemkommandoer i svc_nas-hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22228	Dell Unity, versioner før 5.4, indeholder en sårbarhed med indsættelse af OS-kommandoer i svc_cifssupport hjælpeprogrammet. En godkendt hacker kan potentielt udnytte denne sårbarhed og undslippe den begrænsede shell og udføre vilkårlige operativsystemkommandoer med rodrettigheder.	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22230	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med scripting på tværs af websteder. En godkendt hacker kan potentielt udnytte denne sårbarhed ved at stjæle sessionsoplysninger, udgive sig for at være den berørte bruger eller udføre handlinger, som denne bruger kan udføre, eller generelt kontrollere offerets browser.	6.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CVE-2024-0169	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med scripting på tværs af websteder (XSS). En godkendt hacker kan potentielt udnytte denne sårbarhed, hvilket får brugerne til at downloade og udføre skadelig software, der er udformet af dette produkts funktion, for at kompromittere deres systemer.	5.7	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
CVE-2024-22221	Dell Unity, versioner før 5.4, indeholder en sårbarhed i forbindelse med SQL-injektion. En godkendt hacker kan potentielt udnytte denne sårbarhed og føre til eksponering af følsomme oplysninger.	4.5	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
CVE-2024-22226	Dell Unity, versioner før 5.4, indeholder en svaghed i forbindelse med stikrydsning i svc_supportassist-værktøjet. En godkendt hacker kan potentielt udnytte denne sårbarhed til at få uautoriseret skriveadgang til de filer, der er gemt på serverens filsystem, med administratorrettigheder.	3.3	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products and Remediation

CVE'er adresseret	Produkt	Software/firmware	Berørte versioner	Afhjælpede versioner	Link
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVEE-2024-22224, CVEE4-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE4-0170 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309	Dell Unity	Dell Unity-operativsystemets miljø (OE)	Versioner før 5.4	5.4.0.0.5.094 eller nyere	https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

CVE'er adresseret	Produkt	Software/firmware	Berørte versioner	Afhjælpede versioner	Link
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVEE-2024-22224, CVEE4-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE4-0170 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309	Dell Unity	Dell Unity-operativsystemets miljø (OE)	Versioner før 5.4	5.4.0.0.5.094 eller nyere	https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Revision History

Revision	Dato	Beskrivelse
1.0	2024-02-12	Første version
2.0	2024-05-22	Tilføjet ikon for eksternt link uden andre ændringer af indholdet.

Related Information

Legal Information

Article Properties

Affected Product

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Unity Hybrid flash, Dell Unity Operating Environment (OE), UnityVSA, Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...

Last Published Date

23 May 2024

Article Type

Dell Security Advisory

Welcome

Welcome to Dell