在 Dell Data Protection Virtual Edition 中,Bash 「Shell Shock Vulnerability」
Sammanfattning: 本文提供 Shell shock Bash 錯誤 CVE-2014-6271 安全性漏洞的相關資訊,以及其如何影響 Dell 資料保護 |Virtual Edition 軟體。
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
受影響的產品:
- Dell Data Protection | Virtual Edition
受影響的版本:
- v9.2 和更早版本
從 bash Shell 提示字元執行下列命令,以測試此漏洞:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果輸出中出現 「易受攻擊 」一詞,則機器容易受到利用。
即使有漏洞,攻擊者也必須能夠存取 VE 伺服器上的特定埠,才能使用此漏洞。
最好採用 Dell 資料保護 |Virtual Edition 伺服器並非網際網路專用,而是將 Proxy 服務用於網際網路需求。
如果是 Dell 資料保護 |Virtual Edition 並非網際網路專用, ShellShock 問題無法在組織外部遭到利用。
Orsak
舊版 Dell Data Protection |Virtual Edition 容易受到 Ubuntu Security Notice USN-2362-1 中所述的 bash Shell 中的利用,通常稱為 Shell 衝擊漏洞。
問題參數:
- Dell 資料保護 |Virtual Edition 主控台和 SSH 伺服器使用 bash Shell,可藉由將後端代碼傳遞至 bash shell 並取得未經授權的命令環境存取來利用該 Shell。
- Dell 資料保護 | 中不存在此漏洞加密開機前驗證 (PBA) 軟體,例如自我加密磁片磁碟機 (SED) 管理,或用於驗證用戶端的硬體加密加速器 (HCA)。
Upplösning
此問題已在 Dell Data Protection 中解決 |Virtual Edition v9.3 及更新版本。
若要修正此問題:
- 開啟 Virtual Edition 遠端桌面主控台。
- 從主功能表中選擇 Launch Shell選項,然後按照下列步驟操作:
- 輸入命令:
su ddpsupport - 按下 Enter 鍵。
- 出現提示時,請輸入使用者的密碼設定
ddpsupport。 - 有一個更新提示,從此開始
ddpsupport@。 - 輸入命令:
sudo apt-get update- 此命令會使用網際網路聯絡 Ubuntu 補救伺服器,並要求必要的相關更新。
- 輸入命令:
sudo apt-get install bash
更新完成後,請再次測試,確認更新已解決漏洞。
注意:該字詞的 脆弱性 不在命令的輸出中:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Ytterligare information
更多參考資料
CVE-2014-6271
Berörda produkter
Dell EncryptionArtikelegenskaper
Artikelnummer: 000129498
Artikeltyp: Solution
Senast ändrad: 13 sep. 2023
Version: 9
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.