Vulnérabilités dans des solutions de stockage Dell
Date de publication :
Deux vulnérabilités ont été découvertes dans des solutions de stockage proposées par Dell, Dell EMC ECS, Dell EMC Isilon OneFS et Dell EMC PowerScale OneFS. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges et d’accéder à des informations potentiellement sensibles.;
CVE-2020-5369 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une élévation de privilèges a été découverte dans Dell EMC Isilon OneFS et Dell EMC PowerScale OneFS. Un attaquant authentifié peut exploiter cette vulnérabilité en utilisant SyncIQ afin d’accéder à des fichiers de gestion de système.
CVE-2020-5386 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “exposition de ressources” a été découverte dans Dell EMC ECS. Un attaquant distant non authentifié peut accéder à la liste d’objets “Directory Table” de tous les services internes et ainsi obtenir des informations sensibles sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Accès à des informations sensibles
Criticité
- Score CVSS v3 : 8.8 et 8.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
- Dell EMC ECS toutes versions avant la 3.5
- Dell EMC Isilon OneFS versions 8.2.2 et antérieures
- Dell EMC PowerScale OneFS version 9.0.0
CVE
- CVE-2020-5369
- CVE-2020-5386
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour vers une version non vulnérable (voir Composants vulnérables)
Solution de contournement
Aucune solution de contournement