Se ha publicado un nuevo aviso de múltiples vulnerabilidades en productos Dell, que permitirían a un atacante no autenticado realizar denegación de servicio (DoS), inyección SQL, escalamiento de privilegios, entre otros.
Dell ha reportado un conjunto de vulnerabilidades en el aviso de seguridad DSA-2022-191 Dell Avamar, Dell NetWorker Virtual Edition, and Dell PowerProtect DP Series Appliance: Dell Integrated Data Protection Appliance Security Update for Multiple Vulnerabilities. Las principales se detallan a continuación:
- CVE-2022-29155, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe un error en el backend experimental de back-sql a slapd. Un atacante remoto no autenticado con privilegios de lectura/escritura podría realizar inyección SQL en el sistema afectado.
- CVE-2022-0435, de severidad “Alta” y puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla del tipo stack overflow en la funcionalidad del protocolo TIPC del kernel de Linux. Esto permitiría a un atacante remoto bloquear el sistema o realizar escalamiento de privilegios si tiene acceso a la red TIPC.
- CVE-2022-0391, de severidad “Alta” y puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el lenguaje Python, específicamente dentro del módulo urllib.parse. Esto permitiría a un atacante realizar ataques de inyección SQL en el sistema afectado.
Puede acceder a la lista completa de vulnerabilidades aquí.
Los productos afectados de Dell son:
- Dell Avamar Server Hardware Appliance, Gen4S y Gen4T.
- Dell Avamar Virtual Edition.
- Dell Avamar NDMP Accelerator.
- Dell Avamar VMware Image Proxy.
- Dell NetWorker Virtual Edition (NVE).
- Dell PowerProtect DP Series Appliance.
- Dell Integrated Data Protection Appliance (IDPA).
Recomendamos acceder a las actualizaciones proporcionadas por Dell en el siguiente enlace de soporte:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-dell
- https://nvd.nist.gov/vuln/detail/CVE-2022-29155
- https://nvd.nist.gov/vuln/detail/cve-2022-0435
- https://nvd.nist.gov/vuln/detail/CVE-2022-0391
- https://dl.dell.com/content/manual24694133-dell-emc-avamar-platform-os-security-patch-rollup-2022r2-release-notes.pdf?language=en-us
- https://www.dell.com/support/home/es-py