Потребителите на Dell EMC VPlex GeoSynchrony поискаха да надстроят до v6.1, за да избегнат уязвимостта на несигурните разрешения за файлове

В Dell EMC VPlex Geosynchrony е открита уязвимост на несигурни разрешения за файлове. Установено е, че засяга версии, по-стари от неговата версия 6.1, особено версиите 5.4, 5.5 и 6.0. Тази уязвимост позволява на злонамерените удостоверени хакери да четат от разстояние чрез VPN конфигурационни файлове. Експлойтът също така представлява заплахата на нападателя да бъде в състояние да изпълни атака „човек в средата“ върху VPN трафика, тайно препредавайки и потенциално променяйки комуникацията между две крайни точки, които комуникират с предположението за пълна цялост.

EMC VPlex на Dell е решение за съхранение на данни за виртуален компютър. За първи път е представен през 2010 г. от корпорацията EMC. Той е аплодиран за способността му да задава в разпределен слой за виртуализация безпроблемно (между и през) географски несравними мрежи за съхранение на Fibre Channel и центрове за данни.

Тази уязвимост е получила идентификационния етикет на Dell EMC DSA-2018-156 и идентификационния етикет CVE CVE-2018-11078. Смята се, че представлява риск от средна тежест и е оценено, че има CVSS 3.0 базов резултат 4.0. Според предварителния анализ тази уязвимост тормози само Свидетелите. Засяга Dell EMC VPlex GeooSynchrony 5.4 (всички версии), 5.5 (всички версии) и 6.0 (всички версии).

Тъй като тази уязвимост излага вашата система на несигурни експлоати на разрешения за файлове във версии преди версия 6.1, решението за смекчаване, предложено от Dell към този момент, е просто надграждане до версия 6.2 на Dell VPlex Geosynchrony. Тъй като тази уязвимост не тормози най-новата версия, тя не гарантира изцяло нова версия на актуализацията, тъй като най-новата версия в момента смекчава това безпокойство самостоятелно.

Специална бележка от Dell за тези, които се нуждаят от актуализация за смекчаване на тази уязвимост: от вас се изисква да се свържете с вашия местен представител на място, за да подпомогнете планирането на надстройката на VPlex, което изисква разрешение за контрол на промените (CCA).