Bash «Shell Shock Vulnerability» в Dell Data Protection Virtual Edition
Sammanfattning: В этой статье содержится информация об уязвимости системы безопасности Shell Shock Bash CVE-2014-6271 и ее влиянии на Dell Data Protection | ПО Virtual Edition.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Затронутые продукты:
- Dell Data Protection | Virtual Edition
Затронутые версии:
- v9.2 и более ранние версии
Проверьте эту уязвимость, выполнив следующую команду из командной строки оболочки bash:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Если в выходных данных появляется слово vulnerable , компьютер подвержен эксплойту.
Даже при наличии этой уязвимости злоумышленник должен получить доступ к определенному порту на сервере VE, чтобы воспользоваться уязвимостью.
Передовой практикой является dell Data Protection | Сервер Virtual Edition не подключен к Интернету, а следует использовать прокси-сервисы для требований к Интернету.
Если Dell Data Protection | Virtual Edition не подключен к Интернету, проблема с ShellShock не могла быть использована за пределами организации.
Orsak
Более ранние версии Dell Data Protection | Виртуальная версия подвержена эксплойту в оболочке bash, описанной в уведомлении о безопасности Ubuntu USN-2362-1, как обычно называют уязвимостью Shell Shock.
Параметры проблемы:
- В консоли Dell Data Protection | Virtual Edition и на сервере SSH используется оболочка bash, которая может быть использована путем передачи хвостового кода в оболочку bash и получения несанкционированного доступа к командной среде.
- Эта уязвимость отсутствует в программном обеспечении для предзагрузочной аутентификации (PBA) Dell Data Protection | Encryption, таком как управление Self-Encrypting Drive (SED) или Hardware Encryption Accelerator (HCA), используемом для аутентификации клиентов.
Upplösning
Проблема устранена в Dell Data Protection | Virtual Edition версии 9.3 и более поздних версий.
Чтобы устранить эту проблему, выполните следующие действия.
- Откройте консоль удаленного рабочего стола Virtual Edition.
- Выберите параметр Launch Shell (Запуск оболочки) в главном меню и выполните следующие действия:
- Введите команду:
su ddpsupport - Нажмите клавишу Enter.
- При появлении запроса введите пароль пользователя
ddpsupport. - Появится запрос на обновление, который начинается с
ddpsupport@. - Введите команду:
sudo apt-get update- Эта команда связывается с серверами обновления Ubuntu через Интернет и запрашивает необходимые обновления.
- Введите команду:
sudo apt-get install bash
После завершения обновления убедитесь, что это обновление устранило уязвимость, повторив проверку.
Примечание.: Слово « уязвимый» отсутствует в выходных данных команды:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.
Ytterligare information
Дополнительные справочные материалы
CVE-2014-6271 
Berörda produkter
Dell EncryptionArtikelegenskaper
Artikelnummer: 000129498
Artikeltyp: Solution
Senast ändrad: 13 sep. 2023
Version: 9
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.