Vulnerabilità bash "shell shock" in Dell Data Protection Virtual Edition
요약: Questo articolo fornisce informazioni sulla vulnerabilità di sicurezza CVE-2014-6271 relativa al bug bash della shell e su come influisce su Dell Data Protection | Software Virtual Edition. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
Prodotti interessati:
- Dell Data Protection | Virtual Edition
Versioni interessate:
- v9.2 e precedenti
Testare questa vulnerabilità eseguendo il seguente comando da un prompt della shell bash:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Se la parola vulnerabile appare nell'output, il computer è vulnerabile all'exploit.
Anche con la vulnerabilità, un malintenzionato deve essere in grado di accedere a una porta specifica sul server VE per utilizzare l'exploit.
È consigliabile che Dell Data Protection | Il server Virtual Edition non è connesso a Internet, ma i servizi proxy vengono utilizzati per i requisiti internet.
Se Dell Data Protection | Virtual Edition non è connesso a Internet, il problema ShellShock non può essere sfruttato al di fuori dell'organizzazione.
원인
Versioni precedenti di Dell Data Protection | Virtual Edition è soggetto a un exploit nella shell bash descritta in Ubuntu Security Notice USN-2362-1, comunemente indicata come vulnerabilità agli urti della shell.
Parametri del problema:
- Protezione dei dati Dell | La console di Virtual Edition e il server SSH utilizzano la shell bash, che può essere sfruttata passando il codice finale a una shell bash e ottenendo l'accesso non autorizzato all'ambiente di comando.
- Questa vulnerabilità non è presente in Dell Data Protection | Software Encryption Pre-Boot Authentication (PBA), come la gestione dell'unità autocrittografante (SED) o Hardware Encryption Accelerator (HCA) utilizzato per l'autenticazione dei client.
해결
Il problema è stato risolto in Dell Data Protection | Virtual Edition v9.3 e versioni successive.
Per risolvere questo problema:
- Aprire la console desktop remoto di Virtual Edition.
- Scegliere l'opzione Launch Shell (Avvia shell) dal menu principale e attenersi alla seguente procedura:
- Digitare il comando:
su ddpsupport - Premere il tasto Invio.
- Quando richiesto, immettere la password impostata per l'utente
ddpsupport. - Viene visualizzato un prompt di aggiornamento che inizia con
ddpsupport@. - Digitare il comando:
sudo apt-get update- Questo comando contatta i server di aggiornamento di Ubuntu tramite Internet e richiede gli aggiornamenti necessari.
- Digitare il comando:
sudo apt-get install bash
Al termine dell'aggiornamento, confermare che l'aggiornamento ha risolto la vulnerabilità eseguendo nuovamente il test.
Nota: Che la parola vulnerabile non sia nell'output del comando:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
추가 정보
Altro materiale di riferimento
CVE-2014-6271
해당 제품
Dell Encryption문서 속성
문서 번호: 000129498
문서 유형: Solution
마지막 수정 시간: 13 9월 2023
버전: 9
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.