Kerentanan kebenaran fail yang tidak selamat telah ditemui di Dell EMC VPlex Geosynchrony. Ia didapati mempengaruhi versi yang lebih lama daripada versi 6.1, terutamanya versi 5.4, 5.5 dan 6.0. Kerentanan ini membolehkan penyerang yang disahkan jahat untuk membaca fail konfigurasi VPN dari jauh. Eksploitasi itu juga menimbulkan ancaman penyerang dapat melakukan serangan man-in-the-middle pada lalu lintas VPN, secara diam-diam menyampaikan dan berpotensi mengubah komunikasi antara dua titik akhir yang berkomunikasi dengan anggapan integriti penuh.
EMC VPlex Dell adalah penyelesaian penyimpanan data komputer maya. Ini pertama kali dikeluarkan pada tahun 2010 oleh syarikat EMC. Ini dipuji kerana kemampuannya untuk mengatur lapisan virtualisasi yang diedarkan dengan lancar melalui (di antara dan di) rangkaian kawasan penyimpanan data Fiber Channel dan pusat data.
Kerentanan ini telah diberikan label pengenalan Dell EMC DSA-2018-156 dan label pengenalan CVE CVE-2018-11078. Ia dianggap menimbulkan risiko keparahan sederhana dan telah dinilai mempunyai skor asas CVSS 3.0 4.0. Menurut analisis awal, kerentanan ini menimpa Saksi sahaja. Ini mempengaruhi Dell EMC VPlex GeooSynchrony's 5.4 (semua versi), 5.5 (semua versi), dan 6.0 (semua versi).
Oleh kerana kerentanan ini memperlihatkan sistem anda tidak aman eksploitasi kebenaran fail dalam versi sebelum versi 6.1, penyelesaian mitigasi yang disarankan oleh Dell pada ketika ini adalah peningkatan hanya ke versi 6.2 Dell VPlex Geosynchrony. Oleh kerana kerentanan ini tidak menjangkiti versi terbaru, ia tidak memerlukan pelepasan kemas kini yang sepenuhnya baru kerana rilis terbaru yang paling terkini dapat mengurangkan kebimbangan ini sendiri.
Nota khas dari Dell kepada mereka yang memerlukan kemas kini untuk mengurangkan kerentanan ini: anda diminta untuk menghubungi perwakilan bidang setempat anda untuk membantu dengan perancangan peningkatan VPlex yang memerlukan Kebenaran Kawalan Perubahan (CCA).
Teg Dell
