Vulnerabilidades en Dell EMC VMAX
Fecha de publicación 15/02/2018
Importancia
5 - Crítica
Recursos Afectados
- Dell EMC Unisphere para VMAX Virtual Appliance versiones anteriores a 8.4.0.18
- Dell EMC Solutions Enabler Virtual Appliance versiones anteriores a 8.4.0.21
- Dell EMC VASA Virtual Appliance versiones anteriores a 8.4.0.514
- Dell EMC VMAX Embedded Management (eManagement) versiones anteriores e incluyendo la 1.4 (Enginuity Release 5977.1125.1125 y anteriores)
Descripción
Se han detectado dos vulnerabilidades de severidad alta y crítica en Dell EMC VMAX Appliance Manager que podrían permitir a un usuario malicioso comprometer el sistema afectado.
La vulnerabilidad de criticidad alta permitiría a un usuario subir archivos al servidor. La vulnerabilidad crítica permitiría a un usuario sin autorización acceder al sistema.
Solución
El fabricante ha publicado actualizaciones para los productos VMAX:
Para servidores ESX los usuarios deben aplicar:
- Dell EMC Unisphere para VMAX Virtual Appliance 8.4.0.18 OVA hotfix 1090, service alert 1059
- Dell EMC Unisphere para VMAX Virtual Appliance 8.4.0.18 ISO upgrade hotfix 1089, service alert 1058
- Dell EMC Solutions Enabler Virtual Appliance 8.4.0.21 OVA hotfix 2058, service alert 1891
- Dell EMC Solutions Enabler Virtual Appliance 8.4.0.21 ISO upgrade hotfix 2057, service alert 1890
- Dell EMC VASA Virtual Appliance 8.4.0.516 OVA
- Dell EMC VASA Virtual Appliance 8.4.0.516 ISO upgrade
Para eManagment los usuarios deben aplicar:
- eMGMT 1.4.0.355 (Service Pack 6848)
Las actualizaciones se encuentran disponibles para usuarios registrados en la página de soporte de Dell.
Detalle
Las vulnerabilidades encontradas podrían permitir:
- Un usuario remoto autenticado podría subir al servidor archivos maliciosos en cualquier sitio del servidor web.Se ha reservado el identificador CVE-2018-1215 para esta vulnerabilidad.
- El vApp Manager contiene una cuenta no registrada de usuario con la contraseña en el propio código que puede ser usada con ciertos web servlets. Un atacante remoto conociendo la contraseña y el formato del mensaje podría utilizar servlets vulnerables para obtener acceso al sistema. Esta cuenta no puede utilizarse para acceder a través de la interfaz web. Se ha reservado el identificador CVE-2018-1216 para esta vulnerabilidad.
Listado de referencias
Etiquetas