Article Number: 000222010

DSA-2024-042：多個漏洞的 Dell Unity、Dell Unity VSA 和 Dell Unity XT 安全性更新

Summary: 為多個安全性漏洞提供 Dell Unity、Dell Unity VSA 及 Dell Unity XT 補救措施，惡意使用者可能會利用該漏洞，入侵受影響的系統。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Impact

Critical

Details

第三方元件	CVE	更多資訊
Python-LXML	CVE-2022-2309：	請參閱下面的 NVD 連結，瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/
python3-requests	CVE-2018-18074	請參閱下面的 NVD 連結，瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/
python3-urllib3	CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116	請參閱下面的 NVD 連結，瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/

專有代碼 CVE	說明	CVSS 基本分數	CVSS 向量字串
CVE-2024-22223：	Dell Unity，5.4 之前的版本，在其 svc_cbr 公用程式中包含一個作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞，導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22222	Dell Unity 5.4 之前的版本在其 svc_udoctor 公用程式中包含作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞，導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0166	Dell Unity 5.4 之前的版本在其 svc_tcpdump 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致以提升的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0168	Dell Unity 5.4 之前的版本在 svc_oscheck 公用程式中包含命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，從而導致能夠注入任意操作系統命令。此漏洞允許經過身份驗證的攻擊者以根許可權執行命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0167	Dell Unity，5.4 之前的版本，在 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致能夠以根許可權覆蓋文件系統上的任意檔。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0164	Dell Unity 5.4 之前的版本在其 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致以提升的許可權執行任意命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0165	Dell Unity，5.4 之前的版本，在其 svc_acldb_dump 公用程式中包含作業系統命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致執行具有根許可權的任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22225	Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致執行具有根許可權的任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22227：	Dell Unity，5.4 之前的版本，在其 svc_dc 公用程式中包含一個作業系統命令導入漏洞。經過驗證的攻擊者可能會利用此漏洞，導致能夠以根許可權執行命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0170	Dell Unity 5.4 之前的版本在其 svc_cava 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22224	Dell Unity 5.4 之前的版本在其 svc_nas 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22228	Dell Unity 5.4 之前的版本在其 svc_cifssupport 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22230：	Dell Unity 5.4 之前的版本包含跨站指令碼漏洞。經過身份驗證的攻擊者可能會利用此漏洞，竊取會話資訊，偽裝成受影響的使用者或執行該使用者可以執行的任何操作，或者通常控制受害者的瀏覽器。	6.4	CVSS：3.1/AV：N/AC：L/PR：L/UI：N/S：C/C：L/I：L/A：N
CVE-2024-0169	Dell Unity 5.4 之前的版本包含跨站腳本（XSS）漏洞。經過驗證的攻擊者可能會利用此漏洞，導致使用者下載並執行由本產品功能打造的惡意軟體，進而入侵其系統。	5.7	CVSS：3.1/AV：N/AC：L/PR：L/UI：R/S：U/C：H/I：N/A：N
CVE-2024-22221	Dell Unity，5.4 之前的版本，包含 SQL 注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致敏感信息洩露。	4.5	CVSS：3.1/AV：N/AC：L/PR：H/UI：R/S：U/C：H/I：N/A：N
CVE-2024-22226：	Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含一個路徑遍歷漏洞。經過身份驗證的攻擊者可能會利用此漏洞，使用提升的許可權獲取對存儲在伺服器文件系統上的檔的未經授權的寫入訪問許可權。	3.3	CVSS：3.1/AV：L/AC：L/PR：L/UI：N/S：U/C：N/I：L/A：N

專有代碼 CVE	說明	CVSS 基本分數	CVSS 向量字串
CVE-2024-22223：	Dell Unity，5.4 之前的版本，在其 svc_cbr 公用程式中包含一個作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞，導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22222	Dell Unity 5.4 之前的版本在其 svc_udoctor 公用程式中包含作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞，導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0166	Dell Unity 5.4 之前的版本在其 svc_tcpdump 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致以提升的許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0168	Dell Unity 5.4 之前的版本在 svc_oscheck 公用程式中包含命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，從而導致能夠注入任意操作系統命令。此漏洞允許經過身份驗證的攻擊者以根許可權執行命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0167	Dell Unity，5.4 之前的版本，在 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致能夠以根許可權覆蓋文件系統上的任意檔。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0164	Dell Unity 5.4 之前的版本在其 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致以提升的許可權執行任意命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0165	Dell Unity，5.4 之前的版本，在其 svc_acldb_dump 公用程式中包含作業系統命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致執行具有根許可權的任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22225	Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致執行具有根許可權的任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22227：	Dell Unity，5.4 之前的版本，在其 svc_dc 公用程式中包含一個作業系統命令導入漏洞。經過驗證的攻擊者可能會利用此漏洞，導致能夠以根許可權執行命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-0170	Dell Unity 5.4 之前的版本在其 svc_cava 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22224	Dell Unity 5.4 之前的版本在其 svc_nas 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22228	Dell Unity 5.4 之前的版本在其 svc_cifssupport 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，逃離受限外殼並使用根許可權執行任意操作系統命令。	7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-22230：	Dell Unity 5.4 之前的版本包含跨站指令碼漏洞。經過身份驗證的攻擊者可能會利用此漏洞，竊取會話資訊，偽裝成受影響的使用者或執行該使用者可以執行的任何操作，或者通常控制受害者的瀏覽器。	6.4	CVSS：3.1/AV：N/AC：L/PR：L/UI：N/S：C/C：L/I：L/A：N
CVE-2024-0169	Dell Unity 5.4 之前的版本包含跨站腳本（XSS）漏洞。經過驗證的攻擊者可能會利用此漏洞，導致使用者下載並執行由本產品功能打造的惡意軟體，進而入侵其系統。	5.7	CVSS：3.1/AV：N/AC：L/PR：L/UI：R/S：U/C：H/I：N/A：N
CVE-2024-22221	Dell Unity，5.4 之前的版本，包含 SQL 注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞，導致敏感信息洩露。	4.5	CVSS：3.1/AV：N/AC：L/PR：H/UI：R/S：U/C：H/I：N/A：N
CVE-2024-22226：	Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含一個路徑遍歷漏洞。經過身份驗證的攻擊者可能會利用此漏洞，使用提升的許可權獲取對存儲在伺服器文件系統上的檔的未經授權的寫入訪問許可權。	3.3	CVSS：3.1/AV：L/AC：L/PR：L/UI：N/S：U/C：N/I：L/A：N

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products and Remediation

已解決的 CVE	產品	軟體/韌體	受影響的版本	已補救版本	連結
CVE-2024-22223、CVE-2024-2222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2e24-22224、CVE。 -2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309	Dell Unity	Dell Unity 作業環境（OE）	5.4 之前的版本	5.4.0.0.5.094 或更新版本	https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

已解決的 CVE	產品	軟體/韌體	受影響的版本	已補救版本	連結
CVE-2024-22223、CVE-2024-2222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2e24-22224、CVE。 -2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309	Dell Unity	Dell Unity 作業環境（OE）	5.4 之前的版本	5.4.0.0.5.094 或更新版本	https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers

Revision History

修訂版	日期	說明
1.0	2024-02-12	初始版本
2.0	2024-05-22	添加了外部連結圖示，對內容沒有其他更改。

Related Information

Legal Information

Article Properties

Affected Product

Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC , Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Unity Hybrid flash, Dell Unity Operating Environment (OE), UnityVSA, Dell EMC UnityVSA Professional Edition/Unity Cloud Edition ...

Last Published Date

23 May 2024

Article Type

Dell Security Advisory

Welcome

Welcome to Dell