就在眾人為CPU漏洞Meltdown和Spectre忙得焦頭爛額之際,一家資安公司又披露了3個漏洞,都是Dell EMC資料保護產品的重大漏洞。不少雲端服務採用的備份還原工具EMC Avamar、EMC NetWorker和EMC Integrated Data Protection Appliance上都有的一項共用元件Avamar Installation Manager (AVI),DigitalDefense資安公司在1月4日公布了3個重大漏洞,隨後Dell EMC也緊急釋出修補(連結需登入)。

這三個漏洞包括了一個可以繞過資安服務驗證機制的漏洞(CVE-2017-15548)、一個可以任意透過使用者上傳服務來存取任意檔案的漏洞(CVE-2017-15549),第三個漏洞則可以讓攻擊者上傳任意檔案(CVE-2017_15550)。DigitalDefense警告,結合這三個漏洞,攻擊者不用密碼就可以任意存取或竄改備份資料。

影響產品版本包括了Avamar Server 7.1.x、7.2.x、7.3.x、7.4.x和7.5.0,NetWorker Virtual Edition 9.0.x、9.1.x和9.2.x,以及EMC Integrated Data Protection Appliance 2.0。EMC已經釋出了修補程式。

VMware的vSphere Data Protection (VDP)資料備份產品也有同樣的3個漏洞,影響版本包括了5.x,6.0.x和6.1.x,不過VMware早一步在1月2日就發布了修補程式


Advertisement

更多 iThome相關內容