Dell - CVE-2024-53298
Date de publication :
Un défaut dans la fonctionnalité d’export NFS de Dell PowerScale OneFS permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de lire, modifier ou supprimer des fichiers arbitraires.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à la confidentialité des données
Atteinte à l’intégralité des données
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-862: Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Dell PowerScale OneFS
Versions 9.5.x antérieures à 9.5.1.3
Versions 9.6.x et 9.7.x antérieures à 9.7.1.8
Versions 9.8.x, 9.9.x et 9.10.x antérieures à 9.10.0.2
Contournement provisoire
Si la mise à jour ne peut pas être appliquée, il est recommandé de recharger chaque zone utilisant des exports NFS avec la commande suivante : « isi nfs export reload --zone=zone_name ». Cette commande devra être relancée dans chaque nouvelle zone créée utilisant cette fonctionnalité.
Solutions ou recommandations
Mettre à jour Dell PowerScale OneFS vers la version 9.5.1.3, 9.7.1.8, 9.10.1.2 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Dell.