戴爾EMC和VMware產品曝高危漏洞,現已發放補丁
近日,戴爾EMC針對Dell EMC Avamar Server和Dell EMC Integrated Data Protection Appliance(IDPA)中的Dell EMC Avamar Client Manager釋出了安全更新,以解決一個Critical級別的遠端程式碼執行漏洞和一個Medium級別的開放重定向漏洞。
根據戴爾EMC的說法,這些漏洞是由網路安全公司TSS發現的。其中的遠端程式碼執行漏洞被追蹤為CVE-2018-11066,CVSS v3得分為9.8,可以被未經身份驗證的攻擊者遠端利用,以在易受攻擊的伺服器上執行任意命令。
受該漏洞影響的是Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0、7.4.1、7.5.0、7.5.1和18.1和Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0、2.1和2.2中的Dell EMC Avamar Client Manager。
另一個漏洞被追蹤為CVE-2018-11067,同樣可以被未經身份驗證的攻擊者利用,通過欺騙使用者點選精心設計的惡意連結,將使用者重定向到任意URL。
除此之外,戴爾還披露了一個High級別的資訊洩露漏洞,被追蹤為CVE-2018-11076,也影響到上述產品。該漏洞可以被攻擊者利用來破壞易受攻擊的系統,它會影響Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0和7.4.1以及Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0。
“Dell EMC Avamar和IDPA受到一個資訊洩露漏洞的影響,該漏洞可能會被攻擊者利用來破壞受影響的系統。” 該公司在釋出的安全公告中寫道,“Avamar Java管理控制檯的SSL/TLS私鑰可能會洩露到Avamar Client Manager客戶端軟體包中。未經身份驗證的攻擊者可能會在同一資料鏈路層上使用私鑰來對管理控制檯使用者發起‘中間人(MITM)’攻擊。”
另外,由於VMware vSphere Data Protection(VDP)基於Avamar Virtual Edition,因此它也受到該漏洞的影響。這家虛擬化巨頭已經發布了一份安全公告,告知其使用者這些漏洞會影響VDP 6.0.x和6.1.x .。