DSA-2024-042: 複数の脆弱性に対するDell Unity、Dell Unity VSA、およびDell Unity XTセキュリティ アップデート
摘要: Dell Unity、Dell Unity VSA、Dell Unity XTの修復は、影響を受けるシステムを侵害するために悪意のあるユーザーによって悪用される可能性のある複数のセキュリティ脆弱性に対して利用できます。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
影响
Critical
详情
| サード パーティー製コンポーネント | CVE | 詳細情報 |
|---|---|---|
| python-lxml (英語) | CVE-2022-2309 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/  |
| python3リクエスト | CVE-2018-18074 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/ |
| python3 - urllib3 | CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116 | 各CVEの個々のスコアについては、以下のNVDリンクを参照してください。 http://nvd.nist.gov/ |
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cbrユーティリティー内にOSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
5.4より前のバージョンのDell Unityのsvc_udoctorユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | 5.4より前のバージョンのDell Unityのsvc_tcpdumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4より前のバージョンのDell Unityには、svc_oscheckユーティリティーにコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、任意のオペレーティング システム コマンドを注入する可能性があります。この脆弱性により、認証された攻撃者がroot権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4より前のバージョンのDell Unityでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でファイル システム上の任意のファイルを上書きする可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4より前のバージョンでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
5.4より前のバージョンのDell Unityのsvc_acldb_dumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unityバージョン5.4より前のバージョンでは、svc_supportassistユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4より前のバージョンでは、svc_dcユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
5.4より前のバージョンのDell Unityのsvc_cavaユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
5.4より前のバージョンのDell Unityのsvc_nasユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cifssupportユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティングの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、セッション情報を盗んだり、該当ユーザーになりすましたり、このユーザーが実行できるアクションを実行したり、被害者のブラウザを一般的に制御したりする可能性があります。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティング(XSS)の脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、ユーザーがこの製品の機能によって細工された悪意のあるソフトウェアをダウンロードして実行し、システムを侵害する可能性があります。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
5.4より前のバージョンのDell Unityには、SQLインジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、機密情報の漏えいにつながる可能性があります。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4より前のバージョンでは、svc_supportassistユーティリティーにパス トラバーサルの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限でサーバー ファイルシステムに保存されているファイルに不正な書き込みアクセスを行う可能性があります。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cbrユーティリティー内にOSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
5.4より前のバージョンのDell Unityのsvc_udoctorユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。ローカルアクセス権を持つ認証された悪意のあるユーザーがこの脆弱性を悪用し、脆弱なアプリケーションの権限を使用して、アプリケーションの基盤となるOSで任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | 5.4より前のバージョンのDell Unityのsvc_tcpdumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のOSコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4より前のバージョンのDell Unityには、svc_oscheckユーティリティーにコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、任意のオペレーティング システム コマンドを注入する可能性があります。この脆弱性により、認証された攻撃者がroot権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4より前のバージョンのDell Unityでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でファイル システム上の任意のファイルを上書きする可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4より前のバージョンでは、svc_topstatsユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限で任意のコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
5.4より前のバージョンのDell Unityのsvc_acldb_dumpユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unityバージョン5.4より前のバージョンでは、svc_supportassistユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4より前のバージョンでは、svc_dcユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、root権限でコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
5.4より前のバージョンのDell Unityのsvc_cavaユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
5.4より前のバージョンのDell Unityのsvc_nasユーティリティーには、OSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unityバージョン5.4より前のバージョンでは、svc_cifssupportユーティリティーにOSコマンド インジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、制限付きシェルをエスケープし、root権限で任意のオペレーティングシステムコマンドを実行する可能性があります。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティングの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、セッション情報を盗んだり、該当ユーザーになりすましたり、このユーザーが実行できるアクションを実行したり、被害者のブラウザを一般的に制御したりする可能性があります。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4より前のバージョンには、クロスサイト スクリプティング(XSS)の脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、ユーザーがこの製品の機能によって細工された悪意のあるソフトウェアをダウンロードして実行し、システムを侵害する可能性があります。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
5.4より前のバージョンのDell Unityには、SQLインジェクションの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、機密情報の漏えいにつながる可能性があります。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4より前のバージョンでは、svc_supportassistユーティリティーにパス トラバーサルの脆弱性が含まれています。認証された攻撃者がこの脆弱性を悪用し、昇格された権限でサーバー ファイルシステムに保存されているファイルに不正な書き込みアクセスを行う可能性があります。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
受影响的产品和补救措施
| 対応済みのCVE | 製品 | ソフトウェア/ファームウェア | 影響を受けるバージョン | 修復されたバージョン | リンク |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity操作環境(OE) | 5.4より前のバージョン | 5.4.0.0.5.094以降 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| 対応済みのCVE | 製品 | ソフトウェア/ファームウェア | 影響を受けるバージョン | 修復されたバージョン | リンク |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity操作環境(OE) | 5.4より前のバージョン | 5.4.0.0.5.094以降 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
修订历史记录
| リビジョン | 日付 | 説明 |
|---|---|---|
| 1.0 | 2024-02-12 | イニシャルリリース |
| 2.0を切り替える方法 | 2024-05-22 | 外部リンク アイコンを追加しましたが、コンテンツにその他の変更はありません。 |
相关信息
法律免责声明
受影响的产品
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
文章属性
文章编号: 000222010
文章类型: Dell Security Advisory
上次修改时间: 09 9月 2025
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。