Ir al contenido principal
  • Realice pedidos rápida y fácilmente.
  • Vea los pedidos y haga el seguimiento del estado del envío.
  • Cree una lista de sus productos y acceda a ella
  • Gestione sus sitios, productos y contactos a nivel de producto de Dell EMC con la administración de empresa.

Número de artículo: 000181806


DSA-2020-272 Dell EMC Avamar Server and Dell EMC Integrated Data Protection Appliance Security Update for Multiple Vulnerabilities

Resumen: Dell EMC Avamar Server and Dell EMC Integrated Data Protection Appliance (IDPA) contain remediation for multiple security vulnerabilities that may be exploited by malicious users toVer más

Contenido del artículo


Impacto

Critical

Detalles

Proprietary Code CVE(s) Description CVSSBase Score CVSS Vector String
CVE-2020-29493 DELL EMC Avamar Server, versions 19.1, 19.2, 19.3, contain a SQL Injection Vulnerability in Fitness Analyzer. A remote unauthenticated attacker may potentially exploit this vulnerability, leading to the execution of certain SQL commands on the application's backend database, causing unauthorized read and write access to application data. Exploitation may lead to leakage or deletion of sensitive backup data; hence the severity is Critical. Dell EMC recommends customers to upgrade at the earliest opportunity. 10.0 CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2020-29494
 
Dell EMC Avamar Server, versions 19.1, 19.2, 19.3, contain a Path Traversal Vulnerability in PDM. A remote user may potentially exploit this vulnerability, to gain unauthorized write access to the arbitrary files stored on the server filesystem, causing deletion of arbitrary files.
 
8.7 CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
CVE-2020-29495
 
DELL EMC Avamar Server, versions 19.1, 19.2, 19.3, contain an OS Command Injection Vulnerability in Fitness Analyzer. A remote unauthenticated attacker may potentially exploit this vulnerability, leading to the execution of arbitrary OS commands on the application's underlying OS with high privileges. This vulnerability is considered critical as it can be leveraged to completely compromise the vulnerable application as well as the underlying operating system. Dell recommends customers to upgrade at the earliest opportunity.
 
10.0 CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
     
Proprietary Code CVE(s) Description CVSSBase Score CVSS Vector String
CVE-2020-29493 DELL EMC Avamar Server, versions 19.1, 19.2, 19.3, contain a SQL Injection Vulnerability in Fitness Analyzer. A remote unauthenticated attacker may potentially exploit this vulnerability, leading to the execution of certain SQL commands on the application's backend database, causing unauthorized read and write access to application data. Exploitation may lead to leakage or deletion of sensitive backup data; hence the severity is Critical. Dell EMC recommends customers to upgrade at the earliest opportunity. 10.0 CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2020-29494
 
Dell EMC Avamar Server, versions 19.1, 19.2, 19.3, contain a Path Traversal Vulnerability in PDM. A remote user may potentially exploit this vulnerability, to gain unauthorized write access to the arbitrary files stored on the server filesystem, causing deletion of arbitrary files.
 
8.7 CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
CVE-2020-29495
 
DELL EMC Avamar Server, versions 19.1, 19.2, 19.3, contain an OS Command Injection Vulnerability in Fitness Analyzer. A remote unauthenticated attacker may potentially exploit this vulnerability, leading to the execution of arbitrary OS commands on the application's underlying OS with high privileges. This vulnerability is considered critical as it can be leveraged to completely compromise the vulnerable application as well as the underlying operating system. Dell recommends customers to upgrade at the earliest opportunity.
 
10.0 CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
     

Dell Technologies recomienda que todos los clientes tengan en cuenta la puntuación base CVSS y las puntuaciones temporales o de entorno relevantes que puedan afectar a la posible gravedad asociada a una determinada vulnerabilidad de seguridad.

Productos afectados y corrección

CVE(s) Addressed  Product Affected Version(s) Updated Version(s) Link to Update
CVE-2020-29493,
CVE-2020-29494,
CVE-2020-29495
 
Dell EMC Avamar Server 19.1 Hotfix 325443
Dell EMC Avamar Server 19.2 Hotfix 325444
Dell EMC Avamar Server 19.3 Hotfix 325445
Dell EMC Integrated Data Protection Appliance (IDPA) 2.5 Hotfix 325443
Dell EMC Integrated Data Protection Appliance (IDPA) 2.6 Hotfix 325445
CVE(s) Addressed  Product Affected Version(s) Updated Version(s) Link to Update
CVE-2020-29493,
CVE-2020-29494,
CVE-2020-29495
 
Dell EMC Avamar Server 19.1 Hotfix 325443
Dell EMC Avamar Server 19.2 Hotfix 325444
Dell EMC Avamar Server 19.3 Hotfix 325445
Dell EMC Integrated Data Protection Appliance (IDPA) 2.5 Hotfix 325443
Dell EMC Integrated Data Protection Appliance (IDPA) 2.6 Hotfix 325445
Historial de revisiones

RevisionDateDescription
1.001/12/2021Initial Release

Información relacionada

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide


La información que se recoge en esta asesoría de seguridad de Dell Technologies es de vital importancia para ayudar a evitar ciertas situaciones que pueden surgir a partir de los problemas que se describen en el documento. Dell Technologies distribuye las asesorías de seguridad para ofrecer información importante relacionada con la seguridad a los usuarios que poseen productos afectados. Dell Technologies evalúa el riesgo en función de la media de riesgos en una gran variedad de sistemas instalados. Esto no representa el riesgo real en la instalación local ni en cada entorno. Se recomienda que todos los usuarios determinen la validez de esta información para sus entornos y que tomen las medidas correspondientes. La información que se indica en el presente documento se proporciona "tal cual", sin garantía de ningún tipo. Dell Technologies renuncia expresamente cualquier garantía explícita o implícita, incluidas las garantías de comerciabilidad, capacidad para un propósito determinado, titularidad y no infracción. En ninguna circunstancia Dell Technologies, sus filiales o proveedores, se hacen responsables de los daños derivados de la información que se recoge aquí o de las acciones que lleva a cabo según esta información, lo que incluye daños directos, indirectos, contingentes, consiguientes, especiales o por pérdida de beneficios, incluso cuando Dell Technologies, sus filiales o proveedores informan de la posibilidad de que se produzcan estos daños. Algunos estados no admiten la exclusión o la limitación de responsabilidad por daños contingentes o consiguientes, por lo que la citada limitación se aplica hasta donde lo permita la ley.

Propiedades del artículo


Producto afectado

Avamar, PowerProtect Appliance, Avamar Server, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software, Product Security Information

Fecha de la última publicación

02 nov. 2021

Versión

2

Tipo de artículo

Dell Security Advisory

Valorar este artículo


Acertado
Útil
Fácil de entender
¿Le ha resultado útil este artículo?

0/3000 caracteres