Dell hat seit letzter Woche insgesamt vier Security Advisories veröffentlicht, welche die im Unternehmensbereich engesetzten EMC-Produkte betreffen. Sie behandeln Sicherheitslücken im Integrated Dell Remote Access Controller 9 (iDRAC9), in OpenManage Enterprise (OME), der Cloud Tiering Appliance (CTA) sowie diversen EMC Server-Modellen.

Als "Critical" wurde das Advisory zu Cloud Tiering Appliance eingestuft, welches eine lange Liste von CVE-Nummern mit verschiedenen CVSS-Scores enthält, die sich auf Komponenten von Drittanbietern beziehen. Abgesichert gegen die Lücken sei die Dell EMC Cloud Tiering Appliance (ab) Version 13.0.0.0.16.

iDRAC9 vor der Version 4.20.20.20 und OME vor Version 3.4 enthalten jeweils eine Sicherheitslücke, welche bei vorheriger Authentifizierung aus der Ferne ausnutzbar sind - sie wurden mit "High" eingestuft. Schon gerine Privilegien reichen zur Ausnutzung der iDRAC-Lücke CVE-2020-5366 aus. Angreifer können Eingabeparameter manipulieren und sich damit Zugriff auf beliebige Dateien verschaffen. Ein weiterer Exploit von CVE-2020-5370 benötigt dagegen hohe Privilegien und ermöglicht Angreifern das Überschreiben beliebiger Dateien sowie schlimmstenfalls die Verursachung eines Denial-of-Service und weiterer Aktionen.

Weiterhin werden im vierten Advisory spezifische EMC Server genannt, welche demnächst ein BIOS-Update gegen eine Sicherheitslücke CVE-2020-0543 erhalten sollen. Laut Advisory erhalten die Modelle T140, T340, R240, R340 und NX440 im Juli ein BIOS-Update auf Version 2.3.5 - das Datum steht noch nicht genau fest. Für die die Modelle T130, T330, R230, R330 und NX430 steht die abgesicherte Version 2.10.1 schon bereit.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE