DSA-2024-042 : Mise à jour de sécurité de Dell Unity, Dell Unity VSA et Dell Unity XT pour plusieurs failles de sécurité
摘要: La mesure corrective Dell Unity, Dell Unity VSA et Dell Unity XT est disponible pour plusieurs failles de sécurité susceptibles d’être exploitées par des utilisateurs malveillants pour compromettre le système concerné. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
影响
Critical
详情
| Composant tiers | CVE | Informations supplémentaires |
|---|---|---|
| python-lxml | CVE-2022-2309 | Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. http://nvd.nist.gov/  |
| python3-requêtes | CVE-2018-18074 | Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116 | Reportez-vous au lien NVD ci-dessous pour obtenir les scores individuels pour chaque CVE. http://nvd.nist.gov/ |
| Code propriétaire CVE | Description | Score de base CVSS | Chaîne CVSS |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. | 6,4 | CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :N |
| CVE-2024-0169 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. | 5.7 | CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :N |
| CVE-2024-22221 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. | 4,5 | CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :N |
| CVE-2024-22226 |
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. | 3.3 | CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :N |
| Code propriétaire CVE | Description | Score de base CVSS | Chaîne CVSS |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cbr. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_udoctor. Un utilisateur malveillant authentifié disposant d’un accès local pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires sur le système d’exploitation sous-jacent de l’application, avec les privilèges de l’application vulnérable. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_tcpdump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges élevés. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande dans svc_oscheck utilitaire. Un attaquant authentifié pourrait exploiter cette vulnérabilité et injecter des commandes arbitraires au système d’exploitation. Cette vulnérabilité permet à un attaquant authentifié d’exécuter des commandes avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans l’utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour pouvoir écraser des fichiers arbitraires sur le système de fichiers avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_topstats. Un attaquant authentifié pourrait exploiter cette vulnérabilité et entraîner l’exécution de commandes arbitraires avec des privilèges élevés. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_acldb_dump. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette vulnérabilité, entraînant l’exécution de commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_dc. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui lui permettrait d’exécuter des commandes avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cava. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_nas. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection de commande du système d’exploitation dans son utilitaire svc_cifssupport. Un attaquant authentifié pourrait exploiter cette faille de sécurité, s’échapper du shell restreint et exécuter des commandes arbitraires du système d’exploitation avec des privilèges root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type Cross-site scripting. Un attaquant authentifié pourrait potentiellement exploiter cette vulnérabilité, voler des informations de session, se faire passer pour l’utilisateur concerné ou effectuer toute action que cet utilisateur pourrait effectuer, ou pour contrôler le navigateur de la victime. | 6,4 | CVSS :3.1/AV :N/AC :L/PR :L/UI :N/S :C/C :L/I :L/A :N |
| CVE-2024-0169 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité de type cross-site scripting (XSS). Un attaquant authentifié pourrait exploiter cette vulnérabilité, conduisant les utilisateurs à télécharger et à exécuter des logiciels malveillants conçus par la fonctionnalité de ce produit pour compromettre leurs systèmes. | 5.7 | CVSS :3.1/AV :N/AC :L/PR :L/UI :R/S :U/C :H/I :N/A :N |
| CVE-2024-22221 |
Dell Unity, versions antérieures à la version 5.4, contient une faille de sécurité d’injection SQL. Un attaquant authentifié pourrait exploiter cette faille de sécurité et exposer des informations sensibles. | 4,5 | CVSS :3.1/AV :N/AC :L/PR :H/UI :R/S :U/C :H/I :N/A :N |
| CVE-2024-22226 |
Les versions antérieures à la version 5.4 de Dell Unity contiennent une faille de sécurité de franchissement de chemin dans son utilitaire svc_supportassist. Un attaquant authentifié pourrait exploiter cette faille de sécurité pour obtenir un accès en écriture non autorisé aux fichiers stockés sur le système de fichiers du serveur, avec des privilèges élevés. | 3.3 | CVSS :3.1/AV :L/AC :L/PR :L/UI :N/S :U/C :N/I :L/A :N |
受影响的产品和补救措施
| CVE traitées | Product (Produit) | Logiciel/Firmware | Versions concernées | Versions corrigées | Lien |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Environnement d’exploitation (OE) Dell Unity | Versions antérieures à 5.4 | Version 5.4.0.0.5.094 ou ultérieure | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| CVE traitées | Product (Produit) | Logiciel/Firmware | Versions concernées | Versions corrigées | Lien |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Environnement d’exploitation (OE) Dell Unity | Versions antérieures à 5.4 | Version 5.4.0.0.5.094 ou ultérieure | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
修订历史记录
| Révision | Date | Description |
|---|---|---|
| 1.0 | 2024-02-12 | Version initiale |
| 2.0 | 2024-05-22 | Ajout de l’icône de lien externe sans autre modification du contenu. |
相关信息
法律免责声明
受影响的产品
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
文章属性
文章编号: 000222010
文章类型: Dell Security Advisory
上次修改时间: 09 9月 2025
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。