Bash "Shell Shock Vulnerability" v nástroji Dell Data Protection Virtual Edition

Summary: Tento článek obsahuje informace o chybě zabezpečení SHELL SHOCK Bash CVE-2014-6271 a o tom, jak ovlivňuje nástroj Dell Data Protection . Software Virtual Edition.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dotčené produkty:

  • Dell Data Protection | Virtual Edition

Dotčené verze:

  • v9.2 a starší

Otestujte tuto chybu zabezpečení spuštěním následujícího příkazu z příkazového řádku prostředí Bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud se ve výstupu zobrazí slovo "vulnerable" , počítač je zranitelný vůči zneužití.

I v případě této chyby zabezpečení musí mít útočník přístup ke konkrétnímu portu na serveru VE, aby mohl chybu zneužít.

Nejlepší je, aby nástroj Dell Data Protection | Server Virtual Edition není určen k připojení k internetu, ale k využití služeb proxy pro požadavky směřujících k internetu.

Pokud nástroj Dell Data Protection | Verze Virtual Edition nedochází k internetu, problém s řešením ShellShock nelze zneužít mimo organizaci.

Cause

Starší verze nástroje Dell Data Protection | Verze Virtual Edition je náchylná ke zneužití v prostředí bash popsaném v bezpečnostním oznámení systému Ubuntu USN-2362-1, které se běžně označuje jako zranitelnost shell shock.

Parametry problému:

  • Konzole Dell Data Protection | Virtual Edition a server SSH používají prostředí Bash, které lze zneužít předáním koncového kódu do prostředí Bash a získáním neoprávněného přístupu do příkazového prostředí.
  • Tato chyba zabezpečení se netýká softwaru Dell Data Protection | Encryption Pre-Boot Authentication (PBA), jako je správa Self-Encrypting Drive (SED) nebo Hardware Encryption Accelerator (HCA), které se používají k ověřování klientů.

Resolution

Tento problém byl vyřešen v nástroji Dell Data Protection | Virtual Edition v9.3 a novější.

Oprava tohoto problému:

  1. Otevřete konzoli vzdálené plochy Virtual Edition.
  2. V hlavní nabídce vyberte možnost Launch Shell a postupujte následovně:
  3. Zadejte příkaz: su ddpsupport
  4. Stiskněte klávesu Enter.
  5. Po výzvě zadejte heslo nastavené pro uživatele ddpsupport .
  6. Zobrazí se výzva k aktualizaci, která začíná na ddpsupport@.
  7. Zadejte příkaz: sudo apt-get update
    • Tento příkaz kontaktuje aktualizační servery Ubuntu pomocí internetu a vyžádá požadované relevantní aktualizace.
  8. Zadejte příkaz: sudo apt-get install bash

Po dokončení aktualizace proveďte další testování a ověřte, že chyba zabezpečení byla vyřešena.

Poznámka: Že slovo "vulnerable" není ve výstupu příkazu: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

Další referenční materiály

CVE-2014-6271 Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. na webu NIST

Affected Products

Dell Encryption
Article Properties
Article Number: 000129498
Article Type: Solution
Last Modified: 13 Sep 2023
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.