DSA-2018-013: Dell EMC ECOM XML External Entity Injection Vulnerability

本回答は2018年7月12日時点でのKB520220 : DSA-2018-013: Dell EMC ECOM XML External Entity Injection Vulnerabilityを元に作成されています。最新の情報に関しましては当該KBを参照して頂けますようお願いします。

CVE identififer:CVE-2018-1183

Dell EMC Identifier:DSA-2018-013

影響のある製品:

•Dell EMC Unisphere for VMAX Virtual Appliance versions 8.4.0.8未満のバージョン

•Dell EMC Solutions Enabler Virtual Appliance versions 8.4.0.8未満のバージョン

•Dell EMC VASA Provider Virtual Appliance versions 8.4.0.512未満のバージョン

•Dell EMC Solutions Enabler version 8.4.0.18(SMI-S Version 8.4.0.6)未満のバージョン

•Dell EMC VMAX Embedded Management (eManagement) versions1.4.0.347以前のバージョン

•Dell EMC VNX2 Operating Environment (OE) for File versions 8.1.9.231未満のバージョン

•Dell EMC VNX2 Operating Environment (OE) for Block versions 05.33.009.5.231未満のバージョン

•Dell EMC VNX1 Operating Environment (OE) for File versions 7.1.82.0未満のバージョン

•Dell EMC VNX1 Operating Environment (OE) for Block versions 05.32.000.5.225未満のバージョン

•Dell EMC VNXe3200 Operating Environment (OE) すべてのバージョン

•Dell EMC VNXe1600 Operating Environment (OE) 3.1.9.9570228未満のバージョン

•Dell EMC VNXe 3100/3150/3300 Operating Environment (OE) すべてのバージョン

•Dell EMC ViPR SRM versions 3.7, 3.7.1, 3.7.2 ( Windows環境での使用のみ)

•Dell EMC ViPR SRM versions 4.0, 4.0.1, 4.0.2, 4.0.3 (Windows環境での使用のみ)

•Dell EMC XtremIO versions 4.x

•Dell EMC VMAX eNAS version 8.x

•Dell EMC Unity Operating Environment (OE) versions4.3.0.1522077968未満のバージョン

説明:

Dell EMC製品で使用されているDell EMC Common Object Manager (ECOM) にはXML 外部エンティティの脆弱性 (XML External Entity (XXE) Injection vulnerability)がある可能性があります。

詳細:

ECOM は各プロダクトへのXMLパーサの組み込み方によりXML 外部エンティティへの脆弱性に影響されます。XML 外部エンティティは攻撃者が該当XMLパーサをすり抜けて不正なアクセスを可能にする危険性をはらんでいます。

ECOMを使用してそのリスクを持つDell EMC製品は上記リストにあります。

追加情報:(安全なバージョンのダウンロード場所)

Host Installes >

•Dell EMC ViPR SRM 4.1.1

https://support.DellEMC.com/downloads/34247_ViPR-SRM.

もしくはSR対応



ESX Server Installs >

•Dell EMC Unisphere for VMAX Virtual Appliance

https://support.Dell EMC.com/downloads/27045_Unisphere-for-VMAX

•Dell EMC VASA Provider Virtual Appliance

https://support.Dell EMC.com/downloads/40557_VASA-Provider



VMAX eManagement> カスタマーサポートへの連絡が推奨。SRでの対応

VNX Series>

•Dell EMC VNX2 Operating Environment (OE) for File 8.1.9.231

•Dell EMC VNX2 Operating Environment (OE) for Block 05.33.009.5.231

•Dell EMC VNX1 Operating Environment (OE) for File 7.1.82.0

•Dell EMC VNX1 Operating Environment (OE) for Block 05.32.000.5.225

•Dell EMC VNXe1600 Operating Environment (OE) 3.1.9.9570228

To continue using Dell.com, please upgrade your browser.

Unity>

•Dell EMC Unity Operating Environment (OE) 4.3.0.1522077968 can be downloaded from

https://support.emc.com/downloads/39949_Dell-EMC-Unity-Family

またカスタマーサポートへの連絡推奨

XtremIO>

•Dell EMC XtremIO 4.0.26 can be downloaded

https://support.emc.com/downloads/31109_XtremIO-Family

Related:

  • No Related Posts

Leave a Reply