Bash "Shell Shock Vulnerability" v nástroji Dell Data Protection Virtual Edition

Samenvatting: Tento článek obsahuje informace o chybě zabezpečení SHELL SHOCK Bash CVE-2014-6271 a o tom, jak ovlivňuje nástroj Dell Data Protection . Software Virtual Edition.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Symptomen

Dotčené produkty:

  • Dell Data Protection | Virtual Edition

Dotčené verze:

  • v9.2 a starší

Otestujte tuto chybu zabezpečení spuštěním následujícího příkazu z příkazového řádku prostředí Bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud se ve výstupu zobrazí slovo "vulnerable" , počítač je zranitelný vůči zneužití.

I v případě této chyby zabezpečení musí mít útočník přístup ke konkrétnímu portu na serveru VE, aby mohl chybu zneužít.

Nejlepší je, aby nástroj Dell Data Protection | Server Virtual Edition není určen k připojení k internetu, ale k využití služeb proxy pro požadavky směřujících k internetu.

Pokud nástroj Dell Data Protection | Verze Virtual Edition nedochází k internetu, problém s řešením ShellShock nelze zneužít mimo organizaci.

Oorzaak

Starší verze nástroje Dell Data Protection | Verze Virtual Edition je náchylná ke zneužití v prostředí bash popsaném v bezpečnostním oznámení systému Ubuntu USN-2362-1, které se běžně označuje jako zranitelnost shell shock.

Parametry problému:

  • Konzole Dell Data Protection | Virtual Edition a server SSH používají prostředí Bash, které lze zneužít předáním koncového kódu do prostředí Bash a získáním neoprávněného přístupu do příkazového prostředí.
  • Tato chyba zabezpečení se netýká softwaru Dell Data Protection | Encryption Pre-Boot Authentication (PBA), jako je správa Self-Encrypting Drive (SED) nebo Hardware Encryption Accelerator (HCA), které se používají k ověřování klientů.

Oplossing

Tento problém byl vyřešen v nástroji Dell Data Protection | Virtual Edition v9.3 a novější.

Oprava tohoto problému:

  1. Otevřete konzoli vzdálené plochy Virtual Edition.
  2. V hlavní nabídce vyberte možnost Launch Shell a postupujte následovně:
  3. Zadejte příkaz: su ddpsupport
  4. Stiskněte klávesu Enter.
  5. Po výzvě zadejte heslo nastavené pro uživatele ddpsupport .
  6. Zobrazí se výzva k aktualizaci, která začíná na ddpsupport@.
  7. Zadejte příkaz: sudo apt-get update
    • Tento příkaz kontaktuje aktualizační servery Ubuntu pomocí internetu a vyžádá požadované relevantní aktualizace.
  8. Zadejte příkaz: sudo apt-get install bash

Po dokončení aktualizace proveďte další testování a ověřte, že chyba zabezpečení byla vyřešena.

Poznámka: Že slovo "vulnerable" není ve výstupu příkazu: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Extra informatie

Další referenční materiály

CVE-2014-6271 Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. na webu NIST

Getroffen producten

Dell Encryption
Artikeleigenschappen
Artikelnummer: 000129498
Artikeltype: Solution
Laatst aangepast: 13 sep. 2023
Versie:  9
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.