Multiples vulnérabilités critiques dans des produits Dell

Date de publication :

CVE-2022-29098[Score CVSS v3.1: 8.1]

À cause d’une vulnérabilité dans la politique des mots de passe, il est possible de créer un compte utilisateur sans mot de passe dans Dell PowerScale. Un attaquant distant pourrait exploiter cette vulnérabilité pour compromettre ce compte.

CVE-2022-26869[Score CVSS v3.1: 9.8] (critique)

Une faille de port ouvert dans Dell PowerStore permet à un attaquant distant d’accéder à des données privées et d’exécuter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Atteinte à la confidentialité des données

    Contournement de la politique de sécurité

Criticité

    Score CVSS v3.1: 9.8 max

La faille est activement exploitée

    Non

Un correctif existe

Une mesure de contournement existe

La vulnérabilité exploitée est du type

Pour la CVE-2022-26869

CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

Pour la CVE-2022-29098

CWE-521: Weak Password Requirements

Détails sur l’exploitation

Pour la CVE-2022-26869

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-29098

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Élevée.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Les produits suivants sont affectés par ces vulnérabilités :

Pour la CVE-2022-26869

    Dell PowerStore T OS aux versions 2.0.0.x, 2.0.1.x et 2.1.0.x. Les versions 1.0.xx de PowerStore T OS ne sont pas affectées.

    Le système d'exploitation PowerStore X aux versions 2.0.0.x, 2.0.1.x et 2.1.0.x. Les versions 1.0.xx du système d'exploitation PowerStore X ne sont pas affectées.

Pour la CVE-2022-29098

    Dell PowerScale OneFS aux versions 8.2.0.x à 9.3.0.x.

Solutions ou recommandations

Pour la CVE-2022-26869

  • Mettre à jour PowerStore T OS et son système d’exploitation à jour à la version 2.1.1.0-1649887. Des informations complémentaires sont disponibles ici.

Pour la CVE-2022-29098

  • Mettre à jour Dell PowerScale OneFS à jour. Des informations complémentaires sont disponibles ici.

. Une mesure d’atténuation existe :

  • Attribution ou mise à jour des mots de passe de comptes utilisateur aux normes d’exigence adéquates. Des informations complémentaires sont disponibles ici.

Liens