S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 mars 2012
N° CERTA-2012-AVI-159
Affaire suivie par: CERT-FR
le 21 mars 2012

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Dell PowerVaul ML6000

Gestion du document

Référence CERTA-2012-AVI-159
Titre Multiples vulnérabilités dans Dell PowerVaul ML6000
Date de la première version 21 mars 2012
Date de la dernière version 21 mars 2012
Source(s) Bulletin de sécurité VU#913483
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • injection de code indirecte à distance.

Systèmes affectés

  • Versions antérieures au firmware A20-00 (590G.GS00100).

Résumé

De multiples vulnérabilités ont été corrigées dans le produit Dell PowerVaul ML6000. L'exploitation de ces vulnérabilités pouvait conduire à une prise de contrôle du serveur.

Description

Trois vulnérabilités ont été corrigées dans le produit Dell PowerVaul ML6000. La permière est accessible par un utilisateur non authentifié, la faille est de type « inclusion de fichier » et touche la page « logShow.htm ». La deuxième permet une injection de code dite XSS dans la page « checkQKMProg.html ». La troisième touche la page « saveRestore.htm » (via une méthode POST) et permet une exécution de commandes arbitaires avec les droits de l'utilisateur « root ».

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 mars 2012
    version initiale.