Deux vulnérabilités de criticité élevée ont été identifiées dans l’application vApp intégrée à plusieurs produits de Dell EMC

Deux vulnérabilités de criticité élevée ont été corrigées sur l’application vApp intégrée à plusieurs produits Dell EMC, notamment Dell EMC Unisphere pour VMAX, Dell EMC Solutions Enabler, Dell EMC VASA Virtual Appliances et Dell EMC VMAX Embedded Management (eManagement). Ces vulnérabilités pourraient être exploitées par des utilisateurs malveillants afin de compromettre le système affecté.

Deux CVE ont été attribuées à ces vulnérabilités: 

  • La CVE-2018-1215, concernant une vulnérabilité permettant de télécharger des fichiers de manière arbitraire. Un utilisateur malveillant authentifié à distance pourrait potentiellement télécharger des fichiers malveillants dans n'importe quel emplacement du serveur Web du gestionnaire vApp.
  • CVE-2018-1216, concernant l’existence d’un mot de passe codé en dur dans le gestionnaire de vApp. Ce dernier contient un compte par défaut non documenté « smc » avec un mot de passe codé en dur pouvant être utilisé avec certains servlets Web. Un attaquant distant connaissant le mot de passe codé en dur et le format de requête à utiliser peut utiliser des servlets malveillants pour obtenir un accès non autorisé au système.
Informations
+

Impact

  • Accès non autorisé au système affecté

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Dell EMC Unisphere pour VMAX Virtual Appliance, versions antérieures à 8.4.0.18
  • Dell EMC Solutions Enabler Virtual Appliance, versions antérieures à 8.4.0.21
  • Dell EMC VASA Virtual Appliance, versions antérieures à 8.4.0.514
  • Dell EMC VMAX Embedded Management (eManagement), version 1.4 et antérieures
  • Enginuity, version 5977.1125.1125 et antérieures

CVE

  • CVE-2018- 1215
  • CVE-2018- 1216

Recommandations
+

Correctifs

Les versions suivantes apportent des correctifs pour les vulnérabilités remontées:

  • Dell EMC Unisphere pour VMAX Virtual Appliance 8.4.0.18
  • Dell EMC Solutions Enabler 8.4.0.21
  • Appliance virtuelle VASA
  • Dell EMC VASA 8.4.0.516
  • eMGMT 1.4.0.355 (Service Pack 6848)

Dell EMC recommande à tous ses clients d'effectuer la mise à niveau dès que possible.

Les utilisateurs peuvent télécharger la mise à jour de Dell EMC VASA 8.4.0.516 OVA et ISO à partir du support en ligne de Dell EMC via le lien suivant : https://support.emc.com/downloads/40557_VASA-Provider 

Il est recommandé aux clients inscrits au service de support en ligne Dell EMC de contacter le service clientèle pour tous les autres correctifs, car ils ne sont pas disponibles sur la page de téléchargement Dell EMC Online Support.

Le compte par défaut «smc» a été supprimé pour toutes les nouvelles installations des versions des produits qui contiennent des correctifs.

Solution de contournement

Aucune solution de contournement n’a actuellement été publiée.