DELL EMC UK
XML外部エンティティ(XEE)インジェクションの脆弱性が、DellのEMC Data ProtectionAdvisorのバージョン6.4から6.5で発見されました。この脆弱性はRESTAPIに見られ、認証されたリモートの悪意のある攻撃者がサーバーファイルを読み取ったり、サービス拒否(XML要求を介して悪意を持って作成されたドキュメントタイプ定義(DTD)を介してDoSクラッシュを引き起こしたり)によって影響を受けるシステムを侵害する可能性があります。
Dell EMC Data Protection Advisorは、データのバックアップ、リカバリ、および管理のための単一のプラットフォームを提供するように設計されています。これは、大企業のIT環境に統合された分析と洞察を提供するように設計されています。かつての手動プロセスを自動化し、効率の向上と低コストのメリットを提供します。このアプリケーションは、バックアップデータベースの一部としてさまざまなテクノロジーとソフトウェアをサポートしており、保護のために監査が確実に遵守されるようにするための理想的なツールとして機能します。
この脆弱性にはラベルが割り当てられています CVE-2018-11048 、リスクの重大度が高いと判断されたため、CVSS3.0ベーススコア8.1が割り当てられました。この脆弱性は、DELL EMC Data Protection Advisorのバージョン6.2、6.3、6.4(パッチB180より前)、および6.5(パッチB58より前)に影響を及ぼします。この脆弱性は、Integrated Data ProtectionApplianceのバージョン2.0および2.1にも影響を与えることが判明しています。
デルは、エクスプロイトの影響を軽減するための製品のアップデートをリリースしたことで、この脆弱性に精通しています。パッチB180以降には、Dell EMC Data Protection Advisorのバージョン6.4に必要な更新が含まれ、パッチB58以降には、プログラムのバージョン6.5に応じて必要な更新が含まれています。
DellEMCオンラインサポートの登録済みのお客様は簡単に ダウンロード EMCサポートWebページからの必要なパッチ。この脆弱性はXEEインジェクションの脆弱性と潜在的なDoSクラッシュにより悪用されるリスクが高いため、ユーザー(特にプラットフォームを使用する大企業の管理者)は、システムの侵害を回避するためにパッチをすぐに適用する必要があります。
