ДСА-2024-042: Обновление системы безопасности Dell Unity, Dell Unity VSA и Dell Unity XT для устранения нескольких уязвимостей
摘要: Решения Dell Unity, Dell Unity VSA и Dell Unity XT доступны для устранения нескольких уязвимостей системы безопасности, которые могут быть использованы злоумышленниками для взлома уязвимой системы. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
影响
Critical
详情
| Компонент стороннего производителя | CVE | Дополнительная информация |
|---|---|---|
| python-lxml | CVE-2022-2309 | См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. http://nvd.nist.gov/  |
| python3-запросы | CVE-2018-18074 | См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060, CVE-2019-9740, CVE-2019-11324 и CVE-2020-26116 | См. ссылку NVD ниже, чтобы узнать индивидуальные оценки для каждой CVE. http://nvd.nist.gov/ |
| Проприетарный код CVE | Описание | CVSS Базовая оценка | CVSS Векторная строка |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в служебной программе svc_cbr. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_udoctor утилите. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_tcpdump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС с повышенными привилегиями. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд в svc_oscheck утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к внедрению произвольных команд операционной системы. Эта уязвимость позволяет аутентифицированному злоумышленнику выполнять команды с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС в утилите svc_topstats. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, что позволит перезаписать произвольные файлы в файловой системе с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity версии до 5.4 содержат уязвимость, связанную с внедрением команд ОС, в утилите svc_topstats. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд с повышенными привилегиями. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_acldb_dump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_supportassist утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_dc утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к возможности выполнять команды с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cava. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_nas. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cifssupport. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
В Dell Unity версии до 5.4 содержится уязвимость, связанная с межсайтовым выполнением сценариев. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, украсв информацию о сеансе, выдав себя за пострадавшего пользователя или выполнив любые действия, которые может выполнить этот пользователь, или вообще для управления браузером жертвы. | 6,4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с межсайтовым использованием сценариев (XSS). Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, заставляя пользователей загружать и выполнять вредоносное программное обеспечение, созданное этой функцией продукта, чтобы скомпрометировать свои системы. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
В Dell Unity версии до 5.4 содержится уязвимость, связанная с внедрением кода SQL. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к раскрытию конфиденциальной информации. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity версии до 5.4 содержат уязвимость, связанную с обходом пути, в утилите svc_supportassist. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, чтобы получить несанкционированный доступ для записи к файлам, хранящимся в файловой системе сервера, с повышенными привилегиями. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Проприетарный код CVE | Описание | CVSS Базовая оценка | CVSS Векторная строка |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в служебной программе svc_cbr. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_udoctor утилите. Аутентифицированный злоумышленник с локальным доступом потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС в базовой ОС приложения с привилегиями уязвимого приложения. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в svc_tcpdump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд ОС с повышенными привилегиями. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд в svc_oscheck утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к внедрению произвольных команд операционной системы. Эта уязвимость позволяет аутентифицированному злоумышленнику выполнять команды с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС в утилите svc_topstats. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, что позволит перезаписать произвольные файлы в файловой системе с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity версии до 5.4 содержат уязвимость, связанную с внедрением команд ОС, в утилите svc_topstats. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд с повышенными привилегиями. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_acldb_dump утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_supportassist утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к выполнению произвольных команд операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в своей svc_dc утилите. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к возможности выполнять команды с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cava. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_nas. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с внедрением команд ОС, в утилите svc_cifssupport. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, выйдя из ограниченной оболочки и выполняя произвольные команды операционной системы с привилегиями root. | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
В Dell Unity версии до 5.4 содержится уязвимость, связанная с межсайтовым выполнением сценариев. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, украсв информацию о сеансе, выдав себя за пострадавшего пользователя или выполнив любые действия, которые может выполнить этот пользователь, или вообще для управления браузером жертвы. | 6,4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity версии до 5.4 содержит уязвимость, связанную с межсайтовым использованием сценариев (XSS). Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, заставляя пользователей загружать и выполнять вредоносное программное обеспечение, созданное этой функцией продукта, чтобы скомпрометировать свои системы. | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
В Dell Unity версии до 5.4 содержится уязвимость, связанная с внедрением кода SQL. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, что приведет к раскрытию конфиденциальной информации. | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity версии до 5.4 содержат уязвимость, связанную с обходом пути, в утилите svc_supportassist. Аутентифицированный злоумышленник потенциально может воспользоваться этой уязвимостью, чтобы получить несанкционированный доступ для записи к файлам, хранящимся в файловой системе сервера, с повышенными привилегиями. | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
受影响的产品和补救措施
| Устранено CVE | Продукт | Программное обеспечение/микропрограмма | Затронутые версии | Исправленные версии | Ссылка |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE24-22224 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Операционная среда Dell Unity (OE) | Версии до 5.4 | 5.4.0.0.5.094 и более поздние версии | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| Устранено CVE | Продукт | Программное обеспечение/микропрограмма | Затронутые версии | Исправленные версии | Ссылка |
|---|---|---|---|---|---|
| CVE-2024-22223, CVE-2024-22222, CVE-2024-0166, CVE-2024-0168, CVE-2024-0167, CVE-2024-0164, CVE-2024-0165, CVE-2024-22225, CVE-2024-22227, CVE-2024-0170, CVE-2024-22224, CVE24-22224 -2024-22228, CVE-2024-22230, CVE-2024-0169, CVE-2024-22221, CVE-2024-22226, CVE-2018-20060, CVE-2019-9740, CVE-2019-11324, CVE-2020-26116, CVE-2018-18074, CVE-2022-2309 | Dell Unity | Операционная среда Dell Unity (OE) | Версии до 5.4 | 5.4.0.0.5.094 и более поздние версии | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
修订历史记录
| Редакция | Дата | Описание |
|---|---|---|
| 1.0 | 2024-02-12 | Первоначальный выпуск |
| 2.0 | 2024-05-22 | Добавлен значок внешней ссылки без каких-либо других изменений в содержимом. |
相关信息
法律免责声明
受影响的产品
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
文章属性
文章编号: 000222010
文章类型: Dell Security Advisory
上次修改时间: 09 9月 2025
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。