DSA-2024-042: Sicherheitsupdate für mehrere Sicherheitslücken für Dell Unity, Dell Unity VSA und Dell Unity XT
概要: Dell Unity, Dell Unity VSA und Dell Unity XT können für mehrere Sicherheitslücken behoben werden, die von böswilligen Nutzern ausgenutzt werden können, um das betroffene System zu gefährden. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
影響
Critical
詳細
| Drittanbieterkomponente | CVEs | Weitere Informationen |
|---|---|---|
| python-lxml | CVE-2022-2309 | Siehe NVD-Link unten für individuelle Bewertungen für jede CVE. http://nvd.nist.gov/  |
| python3-Anfragen | CVE-2018-18074 | Siehe NVD-Link unten für individuelle Bewertungen für jede CVE. http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 | Siehe NVD-Link unten für individuelle Bewertungen für jede CVE. http://nvd.nist.gov/ |
| Proprietäre Code-CVEs | Beschreibung | CVSS-Basisbewertung | CVSS Vektorzeichenfolge |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke bei der Einschleusung von Betriebssystembefehlen in seinem svc_cbr-Dienstprogramm. Ein authentifizierter bösartiger Nutzer mit lokalem Zugriff könnte diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige BS-Befehle auf dem zugrunde liegenden Betriebssystem der Anwendung mit den Berechtigungen der anfälligen Anwendung auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im svc_udoctor-Dienstprogramm, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter bösartiger Nutzer mit lokalem Zugriff könnte diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige BS-Befehle auf dem zugrunde liegenden Betriebssystem der Anwendung mit den Berechtigungen der anfälligen Anwendung auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke bei der Einschleusung von Betriebssystembefehlen im svc_tcpdump Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Betriebssystembefehle mit erhöhten Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Befehlseinspeisung in svc_oscheck Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Betriebssystembefehle einzuschleusen. Diese Sicherheitsanfälligkeit ermöglicht es einem authentifizierten Angreifer, Befehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity – Versionen vor 5.4 weisen eine Sicherheitslücke im Dienstprogramm svc_topstats auf, die sich bei der Einschleusung von Betriebssystembefehlen ergibt. Ein authentifizierter Angreifer kann diese Sicherheitslücke ausnutzen, um beliebige Dateien auf dem Dateisystem mit Root-Berechtigungen zu überschreiben. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke durch die Einschleusung von Betriebssystembefehlen im svc_topstats Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Befehle mit erhöhten Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_acldb_dump des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und beliebige Betriebssystembefehle mit Root-Rechten ausführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke im Dienstprogramm svc_supportassist des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und beliebige Betriebssystembefehle mit Root-Rechten ausführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_dc OS Command Injection. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um Befehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Einschleusung von Betriebssystembefehlen in seinem svc_cava Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Einschleusung von Betriebssystembefehlen in seinem svc_nas Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_cifssupport des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity enthält Versionen vor 5.4 eine Cross-Site-Scripting-Sicherheitslücke. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, indem er Sitzungsinformationen stiehlt, sich als betroffener Benutzer ausgibt oder Aktionen ausführt, die dieser Benutzer ausführen könnte, oder allgemein den Browser des Opfers steuern. | 6,4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity – Versionen vor 5.4 weisen eine Sicherheitslücke bezüglich siteübergreifendem Scripting (XSS) auf. Ein authentifizierter Angreifer kann diese Sicherheitslücke möglicherweise ausnutzen und Benutzer dazu veranlassen, bösartige Software herunterzuladen und auszuführen, die mit der Funktion dieses Produkts erstellt wurde, um ihre Systeme zu gefährden. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity enthält Versionen vor 5.4 SQL-Injection-Sicherheitslücke. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und vertrauliche Informationen offenlegen. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke beim Durchlaufen von Pfaden im svc_supportassist Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um unbefugten Schreibzugriff auf die im Serverdateisystem gespeicherten Dateien mit erhöhten Berechtigungen zu erhalten. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Proprietäre Code-CVEs | Beschreibung | CVSS-Basisbewertung | CVSS Vektorzeichenfolge |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke bei der Einschleusung von Betriebssystembefehlen in seinem svc_cbr-Dienstprogramm. Ein authentifizierter bösartiger Nutzer mit lokalem Zugriff könnte diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige BS-Befehle auf dem zugrunde liegenden Betriebssystem der Anwendung mit den Berechtigungen der anfälligen Anwendung auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im svc_udoctor-Dienstprogramm, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter bösartiger Nutzer mit lokalem Zugriff könnte diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige BS-Befehle auf dem zugrunde liegenden Betriebssystem der Anwendung mit den Berechtigungen der anfälligen Anwendung auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke bei der Einschleusung von Betriebssystembefehlen im svc_tcpdump Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Betriebssystembefehle mit erhöhten Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Befehlseinspeisung in svc_oscheck Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Betriebssystembefehle einzuschleusen. Diese Sicherheitsanfälligkeit ermöglicht es einem authentifizierten Angreifer, Befehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity – Versionen vor 5.4 weisen eine Sicherheitslücke im Dienstprogramm svc_topstats auf, die sich bei der Einschleusung von Betriebssystembefehlen ergibt. Ein authentifizierter Angreifer kann diese Sicherheitslücke ausnutzen, um beliebige Dateien auf dem Dateisystem mit Root-Berechtigungen zu überschreiben. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke durch die Einschleusung von Betriebssystembefehlen im svc_topstats Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um beliebige Befehle mit erhöhten Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_acldb_dump des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und beliebige Betriebssystembefehle mit Root-Rechten ausführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke im Dienstprogramm svc_supportassist des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und beliebige Betriebssystembefehle mit Root-Rechten ausführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_dc OS Command Injection. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um Befehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Einschleusung von Betriebssystembefehlen in seinem svc_cava Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke durch Einschleusung von Betriebssystembefehlen in seinem svc_nas Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, Versionen vor 5.4, enthalten eine Sicherheitslücke im Dienstprogramm svc_cifssupport des Betriebssystems, die zur Einschleusung von Betriebssystembefehlen führt. Ein authentifizierter Angreifer kann diese Sicherheitslücke potenziell ausnutzen, um die eingeschränkte Shell zu umgehen und beliebige Betriebssystembefehle mit Root-Berechtigungen auszuführen. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity enthält Versionen vor 5.4 eine Cross-Site-Scripting-Sicherheitslücke. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, indem er Sitzungsinformationen stiehlt, sich als betroffener Benutzer ausgibt oder Aktionen ausführt, die dieser Benutzer ausführen könnte, oder allgemein den Browser des Opfers steuern. | 6,4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity – Versionen vor 5.4 weisen eine Sicherheitslücke bezüglich siteübergreifendem Scripting (XSS) auf. Ein authentifizierter Angreifer kann diese Sicherheitslücke möglicherweise ausnutzen und Benutzer dazu veranlassen, bösartige Software herunterzuladen und auszuführen, die mit der Funktion dieses Produkts erstellt wurde, um ihre Systeme zu gefährden. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity enthält Versionen vor 5.4 SQL-Injection-Sicherheitslücke. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen und vertrauliche Informationen offenlegen. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity-Versionen vor 5.4 enthalten eine Sicherheitslücke beim Durchlaufen von Pfaden im svc_supportassist Dienstprogramm. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit potenziell ausnutzen, um unbefugten Schreibzugriff auf die im Serverdateisystem gespeicherten Dateien mit erhöhten Berechtigungen zu erhalten. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
影響を受ける製品と修復
| Bearbeitete CVEs | Produkt | Software/Firmware | Betroffene Versionen | Korrigierte Versionen | Link |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Dell Unity-Betriebsumgebung (OE) | Versionen vor 5.4 | 5.4.0.0.5.094 oder höher | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| Bearbeitete CVEs | Produkt | Software/Firmware | Betroffene Versionen | Korrigierte Versionen | Link |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Dell Unity-Betriebsumgebung (OE) | Versionen vor 5.4 | 5.4.0.0.5.094 oder höher | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
変更履歴
| Versionen | Datum | Beschreibung |
|---|---|---|
| 1.0 | 2024-02-12 | Erstveröffentlichung |
| 2.0 | 2024-05-22 | Symbol für externen Link ohne weitere Änderungen am Inhalt hinzugefügt. |
関連情報
法的免責事項
対象製品
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
文書のプロパティ
文書番号: 000222010
文書の種類: Dell Security Advisory
最終更新: 09 9月 2025
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。