戴爾EMC和VMware產品曝高危漏洞,現已發放補丁
責編:gltian |2018-12-03 13:25:07近日,戴爾EMC針對Dell EMC Avamar Server和Dell EMC Integrated Data Protection Appliance(IDPA)中的Dell EMC Avamar Client Manager發布了安全更新,以解決一個Critical級別的遠程代碼執行漏洞和一個Medium級別的開放重定向漏洞。
根據戴爾EMC的說法,這些漏洞是由網絡安全公司TSS發現的。其中的遠程代碼執行漏洞被追蹤為CVE-2018-11066,CVSS v3得分為9.8,可以被未經身份驗證的攻擊者遠程利用,以在易受攻擊的服務器上執行任意命令。
受該漏洞影響的是Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0、7.4.1、7.5.0、7.5.1和18.1和Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0、2.1和2.2中的Dell EMC Avamar Client Manager。
另一個漏洞被追蹤為CVE-2018-11067,同樣可以被未經身份驗證的攻擊者利用,通過欺騙用戶點擊精心設計的惡意鏈接,將用戶重定向到任意URL。
除此之外,戴爾還披露了一個High級別的信息泄露漏洞,被追蹤為CVE-2018-11076,也影響到上述產品。該漏洞可以被攻擊者利用來破壞易受攻擊的系統,它會影響Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0和7.4.1以及Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0。
“Dell EMC Avamar和IDPA受到一個信息泄露漏洞的影響,該漏洞可能會被攻擊者利用來破壞受影響的系統。”?該公司在發布的安全公告中寫道,“Avamar Java管理控制臺的SSL/TLS私鑰可能會泄露到Avamar Client Manager客戶端軟件包中。未經身份驗證的攻擊者可能會在同一數據鏈路層上使用私鑰來對管理控制臺用戶發起‘中間人(MITM)’攻擊。”
另外,由于VMware vSphere Data Protection(VDP)基于Avamar Virtual Edition,因此它也受到該漏洞的影響。這家虛擬化巨頭已經發布了一份安全公告,告知其用戶這些漏洞會影響VDP 6.0.x和6.1.x .。
原文鏈接:https://www.hackeye.net/threatintelligence/17407.aspx