• آسیبپذیری با شناسه CVE-2024-0155 و شدت بالا 7.0 در Dell Digital Delivery کشف شده است که امکان Use After Free را برای مهاجم محلی با سطح دسترسی پایین فراهم میآورد و این امر منجر به اجرای کد دلخواهتوسط وی برنامه خواهد شد.
• آسیبپذیری با شناسه CVE-2024-0156 و شدت بالا 7.0 در Dell Digital Delivery کشف شده است که امکان سرریز بافر را برای مهاجم محلی با سطح دسترسی پایین فراهم میآورد و این امر منجر به اجرای کد دلخواه یا ارتقاء سطح دسترسی خواهد شد.
• آسیبپذیری با شناسه CVE-2024-22452 و شدت بالا 7.3 در Dell Display و Peripheral Manager برای macOS کشف شده است که بهدلیل کنترل دسترسی نامناسب امکان اجرای کد از راه دور از طریق اصلاح فایلهای موجود در پوشه نصب را برای مهاجم با سطح دسترسی پایین فراهم میآورد و منجر به افزایش سطح دسترسی وی خواهد شد.
• آسیبپذیری با شناسه CVE-2024-22463 و شدت بالا 7.4 در Dell PowerScale OneFS کشف شده است که امکان بهرهبرداری از الگوریتم رمزنگاری شکسته یا مخاطرهآمیز (شکستن الگوریتم رمزنگاری) را برای مهاجم از راه دور فراهم میآورد و این امر منجر به تحت تاثیر قرار گرفتن محرمانگی و یکپارچگی اطلاعات حساس خواهد شد.
محصولات تحت تأثیر
آسیبپذیری مذکور محصول Dell Digital Delivery نسخههای قبل از 5.0.86.0، Dell Display و Peripheral Manager برای macOS نسخه قبل از 1.3 و Dell PowerScale OneFS نسخههای 8.2.x تا 9.6.0.x را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Dell Digital Delivery به نسخه 5.0.86.0، ارتقاء Dell Display وPeripheral Manager برای macOS به نسخه 1.3 یا بالاتر و ارتقاء Dell PowerScale OneFS به نسخه 9.5.0.7 یا بالاتر یا بهروزرسانی رمزهای (ciphers) زیر به صورت دستی در http-config و web-config اقدام نمایند.
(سطح دسترسی) root:
# isi_gconfig -t http-config cipher_suites=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256
# isi_gconfig -t web-config cipher_suites=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256
در حالت Compliance Mode:
% sudo isi_gconfig -t http-config cipher_suites=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256
% sudo isi_gconfig -t web-config cipher_suites=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256
منابع خبر:
[1] https://www.dell.com/support/kbdoc/en-in/000222292/dsa-2024-033
[2] https://www.dell.com/support/kbdoc/en-us/000222536/dsa-2024-032-security-update-for-dell-digital-de…
[3] https://www.dell.com/support/kbdoc/en-us/000221414/dsa-2024-056
[4] https://www.dell.com/support/kbdoc/en-us/000222691/dsa-2024-062-security-update-for-dell-powerscale…;
- 55