Dell Data Protection Virtual Edition 中的 Bash“Shell Shock Vulnerability”

受影响的产品：

• Dell Data Protection | Virtual Edition

受影响的版本：

• v9.2 和更早版本

通过从 bash shell 提示符运行以下命令来测试此漏洞：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果输出中出现 “易受攻击” 一词，则机器容易受到攻击。

即使出现漏洞，攻击者也必须能够访问 VE 服务器上的特定端口才能使用该漏洞。

最佳做法是 Dell Data Protection |Virtual Edition 服务器不面向互联网，而是用于面向互联网的要求的代理服务。

如果是 Dell Data Protection |Virtual Edition 不面向互联网，无法在组织外部利用 ShellShock 问题。

较旧版本的 Dell Data Protection |Virtual Edition 容易受到 Ubuntu Security Notice USN-2362-1 中所述的 bash shell 中的漏洞攻击，通常称为 Shell 撞击漏洞。

问题参数：

• Dell Data Protection |Virtual Edition 控制台和 SSH 服务器使用 bash shell，这可以通过将尾随代码传递到 bash shell 并获得对命令环境的未经授权的访问来加以利用。
• Dell Data Protection | 中不存在此漏洞加密启动前身份验证 （PBA） 软件，例如自加密驱动器 （SED） 管理或用于验证客户端的硬件加密加速器 （HCA）。

此问题已在 Dell Data Protection | 中得到解决Virtual Edition v9.3 及更高版本。

要纠正此问题：

1. 打开 Virtual Edition 远程桌面控制台。
2. 从主菜单中选择 Launch Shell 选项，然后执行以下步骤：
3. 键入命令： su ddpsupport
4. 按键。
5. 出现提示时，输入为用户设置的 ddpsupport 密码。
6. 有一个更新提示以 开头 ddpsupport@。
7. 键入命令： sudo apt-get update
   • 此命令使用 Internet 联系 Ubuntu 更新服务器，并请求所需的相关更新。
8. 键入命令： sudo apt-get install bash

更新完成后，再次测试，确认更新解决了该漏洞。

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。

更多参考材料

CVE-2014-6271 在 NIST 网站上