SCシリーズ: Dell Storage Manager仮想アプライアンスによるCVE-2024-1086のレポート
概要: セキュリティ脆弱性スキャンにより、Dell Storage Manager仮想アプライアンスがCVE-2024-1086の影響を受けやすいことが明らかになる場合があります。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
環境内でセキュリティ スキャンを実行すると、Dell Storage Manager仮想アプライアンスのインスタンスがこの脆弱性を報告する場合があります。アプライアンスはCentOS Linux上に構築されています。仮想アプライアンスにはLinuxカーネルがあるため、セキュリティ スキャンによって脆弱性レポートがトリガーされる場合があります。
原因
Linux カーネルの Netfilter サブシステムに欠陥が見つかりました。この問題はnft_verdict_init()関数で発生し、フック判定内のドロップエラーとして正の値を許可するため、nf_hook_slow()関数は、NF_ACCEPTに似たドロップエラーでNF_DROPが発行された場合にダブルフリーの脆弱性を引き起こす可能性があります。nf_tablesコンポーネントが悪用され、ローカル権限のエスカレーションが行われる可能性があります。
解決方法
この脆弱性はSC Seriesエンジニアリングに提起され、Dell Storage Manager Virtual Applianceのすべてのバージョンがこの脆弱性の影響を受けないことを確認しました。
Dell Storage Manager仮想アプライアンスに、この問題を悪用するために必要なnf_tablesカーネル モジュールがロードされていません。したがって、この脆弱性は当社のアプライアンス内では実行できません。
この脆弱性がDell Storage Manager仮想アプライアンスで報告されている場合、それは誤検出です。
その他の情報
詳細については、次の場所を参照してください。
NVD - CVE-2024-1086
CVE-2024-1086 - Red Hat Customer Portal
対象製品
Dell Compellent SC4020, Dell Storage SC8000, Dell Storage SCv2000, Dell Storage SCv2020, Dell Storage SCv2080, Dell Storage SC5020, Dell Storage SC5020F, Dell Storage SC7020, Dell Storage SC7020F, Dell Storage SC9000製品
SC Series, SCv Series, Dell Storage SCv3000, Dell Storage SCv3020文書のプロパティ
文書番号: 000251259
文書の種類: Solution
最終更新: 22 11月 2024
バージョン: 1
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。