近日,戴尔EMC针对Dell EMC Avamar Server和Dell EMC Integrated Data Protection Appliance(IDPA)中的Dell EMC Avamar Client Manager发布了安全更新,以解决一个Critical级别的远程代码执行漏洞和一个Medium级别的开放重定向漏洞。
根据戴尔EMC的说法,这些漏洞是由网络安全公司TSS发现的。其中的远程代码执行漏洞被追踪为CVE-2018-11066,CVSS v3得分为9.8,可以被未经身份验证的攻击者远程利用,以在易受攻击的服务器上执行任意命令。
受该漏洞影响的是Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0、7.4.1、7.5.0、7.5.1和18.1和Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0、2.1和2.2中的Dell EMC Avamar Client Manager。
另一个漏洞被追踪为CVE-2018-11067,同样可以被未经身份验证的攻击者利用,通过欺骗用户点击精心设计的恶意链接,将用户重定向到任意URL。
除此之外,戴尔还披露了一个High级别的信息泄露漏洞,被追踪为CVE-2018-11076,也影响到上述产品。该漏洞可以被攻击者利用来破坏易受攻击的系统,它会影响Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0和7.4.1以及Dell EMC Integrated Data Protection Appliance(IDPA)版本2.0。
“Dell EMC Avamar和IDPA受到一个信息泄露漏洞的影响,该漏洞可能会被攻击者利用来破坏受影响的系统。” 该公司在发布的安全公告中写道,“Avamar Java管理控制台的SSL/TLS私钥可能会泄露到Avamar Client Manager客户端软件包中。未经身份验证的攻击者可能会在同一数据链路层上使用私钥来对管理控制台用户发起‘中间人(MITM)’攻击。”
另外,由于VMware vSphere Data Protection(VDP)基于Avamar Virtual Edition,因此它也受到该漏洞的影响。这家虚拟化巨头已经发布了一份安全公告,告知其用户这些漏洞会影响VDP 6.0.x和6.1.x .。