Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000222010

DSA-2024-042 : Mise à jour de sécurité de Dell Unity, Dell Unity VSA et Dell Unity XT pour plusieurs failles de sécurité

Summary: La mesure corrective Dell Unity, Dell Unity VSA et Dell Unity XT est disponible pour plusieurs failles de sécurité susceptibles d’être exploitées par des utilisateurs malveillants pour compromettre le système concerné. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Impact

Critical

Details

Composant tiers CVE Informations supplémentaires
python-lxml  CVE-2022-2309 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-requêtes CVE-2018-18074 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
python3-urllib3 CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. 
http://nvd.nist.gov/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 		 Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 		 Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2024-22223
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22222
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0166 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0168
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0167 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0164
 		 Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0165
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22225
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22227
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-0170
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22224
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22228
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. 7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

 
CVE-2024-22230
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. 6,4 CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-0169
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. 5.7 CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22221
 		 Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. 4,5 CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
CVE-2024-22226
 		 Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. 3.3 CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :NCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products and Remediation

CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers
CVE traitées Product (Produit) Logiciel/Firmware Versions concernées Versions corrigées Lien
CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 Dell Unity Environnement d’exploitation (OE) Dell Unity Versions antérieures à 5.4 Version 5.4.0.0.5.094 ou ultérieure https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Revision History

RévisionDateDescription
1.02024-02-12Version initiale
2.02024-05-22Ajout de l’icône de lien externe sans autre modification du contenu.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Information

Article Properties

Affected Product
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Unity Hybrid flash, Dell Unity Operating Environment (OE), UnityVSA, Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...
Last Published Date

23 May 2024

Article Type

Dell Security Advisory

Back to Top