A Dell EMC VPlex Geosynchrony nem biztonságos fájlengedélyezési rést fedezett fel. Úgy találták, hogy a 6.1-nél régebbi verziókat érinti, különösen az 5.4, 5.5 és 6.0 verziókat. Ez a biztonsági rés lehetővé teszi, hogy a rosszindulatú hitelesített támadók távolról olvassák el a VPN konfigurációs fájljait. A kihasználás azzal a fenyegetéssel is fenyeget, hogy a támadó képes lesz ember közepette támadást végrehajtani a VPN-forgalom ellen, titokban továbbítva és potenciálisan megváltoztatva a két integritás feltételezésével kommunikáló végpont közötti kommunikációt.
A Dell EMC VPlex virtuális számítógépes adattárolási megoldás. Először 2010-ben hozta ki az EMC vállalat. Dicséretét fejezi ki amiatt, hogy elosztott virtualizációs réteget tud földrajzilag összehasonlíthatatlan földrajzi szempontból összehasonlíthatatlan Fibre Channel tárhálózati hálózatokon és adatközpontokon keresztül beállítani.
Ezt a biztonsági rést a DSA-2018-156 Dell EMC azonosító címkével és a CVE-2018-11078 CVE azonosító címkével látták el. Közepes súlyosságú kockázatot jelent, és a CVSS 3.0 alapértéke 4,0 volt. Az előzetes elemzés szerint ez a sebezhetőség csak a Tanút sújtja. Ez hatással van a Dell EMC VPlex GeooSynchrony 5.4 (összes verzió), 5.5 (minden verzió) és 6.0 (összes verzió) verzióira.
Mivel ez a biztonsági rés bizonytalan fájlengedély-kihasználást tesz lehetővé a rendszer számára a 6.1-es verziót megelőző verziókban, a Dell által ezen a ponton javasolt enyhítő megoldás puszta frissítés a Dell VPlex Geosynchrony 6.2-es verziójára. Mivel ez a biztonsági rés nem sújtja a legújabb verziót, nem indokolja egy teljesen új frissítés kiadását, mivel a jelenleg legfrissebb kiadás önmagában enyhíti ezt az aggodalmat.
A Dell külön megjegyzése azoknak, akik frissítésre szorulnak a biztonsági rés enyhítése érdekében: fel kell venni a kapcsolatot a helyi terepi képviselőjével, hogy segítsen a VPlex frissítésének tervezésében, amelyhez módosítási engedély (CCA) szükséges.
Címkék Dell
