Risques
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance
Systèmes affectés
- Versions antérieures au firmware A20-00 (590G.GS00100).
Résumé
De multiples vulnérabilités ont été corrigées dans le produit Dell PowerVaul ML6000. L'exploitation de ces vulnérabilités pouvait conduire à une prise de contrôle du serveur.
Description
Trois vulnérabilités ont été corrigées dans le produit Dell PowerVaul ML6000. La permière est accessible par un utilisateur non authentifié, la faille est de type « inclusion de fichier » et touche la page « logShow.htm ». La deuxième permet une injection de code dite XSS dans la page « checkQKMProg.html ». La troisième touche la page « saveRestore.htm » (via une méthode POST) et permet une exécution de commandes arbitaires avec les droits de l'utilisateur « root ».
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de vulnérabilité de l'US-CERT VU#913483 du 19 mars 2012 : http://www.kb.cert.org/vuls/id/913483