Bash "Уразливість Shell Shock" у віртуальному виданні Dell Data Protection

요약: У цій статті наведено інформацію про уразливість системи безпеки Shell shock Bash Bug CVE-2014-6271 і її вплив на захист даних Dell | Програмне забезпечення Virtual Edition.

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

증상

Продукти, що зазнали впливу:

  • Захист даних Dell | Віртуальне видання

Уражені версії:

  • v9.2 і більш ранні версії

Перевірте наявність цієї вразливості, запустивши таку команду з рядка оболонки bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Якщо на виході з'являється слово вразливий, значить, машина вразлива для експлойту.

Навіть з уразливістю зловмисник повинен мати доступ до певного порту на сервері VE, щоб використовувати експлойт.

Найкраще практикувати захист даних Dell | Сервер Virtual Edition - це не вихід з Інтернету, а скоріше проксі-сервіси, які слід використовувати для вимог Інтернету.

Якщо захист даних Dell | Virtual Edition не стикається з Інтернетом, проблема ShellShock не може бути використана за межами організації.

원인

Попередні версії Dell Data Protection | Virtual Edition схильні до експлойту в оболонці bash, описаної в Ubuntu Security Notice USN-2362-1, зазвичай згадується як уразливість Shell Shock.

Параметри випуску:

  • Захист даних Dell | Консоль Virtual Edition і SSH сервер використовує оболонку bash, яка може бути використана шляхом передачі кінцевого коду в оболонку bash і отримання несанкціонованого доступу до командного середовища.
  • Ця вразливість відсутня в Dell Data Protection | Шифрування Програмне забезпечення для автентифікації перед завантаженням (PBA), як-от керування диском із самошифруванням (SED), а також прискорювач апаратного шифрування (HCA), що використовується для автентифікації клієнтів.

해결

Проблему вирішено в Dell Data Protection | Virtual Edition v9.3 і новіші.

Щоб вирішити цю проблему:

  1. Відкрийте консоль віддаленого робочого стола Virtual Edition.
  2. Виберіть опцію Launch Shell у головному меню та виконайте такі дії:
  3. Введіть команду: su ddpsupport
  4. Натисніть клавішу Enter.
  5. Коли з'явиться запит, введіть пароль, встановлений ddpsupport для користувача.
  6. Є запит на оновлення, який починається з ddpsupport@.
  7. Введіть команду: sudo apt-get update
    • Ця команда зв'язується з серверами оновлення Ubuntu за допомогою Інтернету і запитує відповідні необхідні оновлення.
  8. Введіть команду: sudo apt-get install bash

Після завершення оновлення переконайтеся, що оновлення усунуло цей дефект, повторивши тестування.

Примітка: Що слова вразливий немає у виводі команди: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Щоб зв'язатися зі службою підтримки, зверніться до служби телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб створити запит на технічну підтримку онлайн.
Щоб отримати додаткові аналітичні дані та ресурси, приєднайтеся до форуму спільноти Dell Security Community.

추가 정보

Більше довідкового матеріалу

CVE-2014-6271За допомогою цього гіперпосилання ви перейдете на веб-сайт за межами Dell Technologies. на веб-сайті NIST

해당 제품

Dell Encryption
문서 속성
문서 번호: 000129498
문서 유형: Solution
마지막 수정 시간: 13 9월 2023
버전:  9
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.