Vulnérabilités critiques dans Dell

Date de publication :

CVE-2022-26851[Score CVSS v3.1 : 9.1] (critique)

Un défaut dans une fonction inconnue du composant Filename Handler de Dell EMC PowerScale OneFS permet à un attaquant d’écraser les données de télémétrie.

CVE-2022-26852[Score CVSS v3.1 : 8.1]

Une valeur prévisible de départ dans le générateur de nombres aléatoires de Dell PowerScale OneFS permet à un attaquant distant de provoquer une compromission de compte.

CVE-2022-26854[Score CVSS v3.1 : 8.1]

La présence de certains algorithmes cryptographiques à risque dans Dell PowerScale OneFS permet à un attaquant distant de contourner la politique de sécurité pour accéder au système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Contournement de la politique de sécurité

    Atteinte à l'intégrité des données

Criticité

    Score CVSS v3.1: 9.1 max

La faille est activement exploitée

    Non pour l’ensemble des vulnérabilités

Un correctif existe

    Oui pour l’ensemble des vulnérabilités

Une mesure de contournement existe

Pour la CVE-2022-26851 et la CVE-2022-26852

    Non

Pour la CVE-2022-26854

    Oui

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-26851

Pour la CVE-2022-26852

Pour la CVE-2022-26854

Détails sur l’exploitation

Pour la CVE-2022-26851

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

 

Pour la CVE-2022-26852

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Élevée.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour la CVE-2022-26854

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Élevée.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

 

Composants vulnérables

    Dell PowerScale OneFS dans ses versions 8.2.2 à 9.3.x

Solutions ou recommandations

  • Mettre à jour Dell PowerScale OneFS à la version 9.4.0. Des informations complémentaires sont disponibles ici.

Mesure de contournement

Pour la CVE-2022-26854

  • Une mesure de contournement est disponible ici.

Liens