DELL EMC UK
XML ārējās entītijas (XEE) injekcijas ievainojamība ir atklāta Dell EMC datu aizsardzības padomnieka versijās 6.4 līdz 6.5. Šī ievainojamība ir atrasta REST API, un tā varētu ļaut autentificētam ļaunprātīgam attālajam uzbrucējam apdraudēt skartās sistēmas, lasot servera failus vai izraisot pakalpojumu atteikumu (DoS avārija, izmantojot ļaunprātīgi izveidotas dokumentu veida definīcijas (DTD), izmantojot XML pieprasījumu.
Dell EMC datu aizsardzības padomnieks ir paredzēts, lai nodrošinātu vienotu platformu datu dublēšanai, atkopšanai un pārvaldībai. Tas ir paredzēts, lai sniegtu vienotu analīzi un ieskatu lielo korporāciju IT vidē. Tas automatizē reiz manuālo procesu un nodrošina lielāku efektivitāti un zemākas izmaksas. Lietojumprogramma kā rezerves kopijas datu bāze atbalsta plašu tehnoloģiju un programmatūru klāstu, un tā darbojas kā ideāls rīks, lai nodrošinātu revīziju ievērošanu aizsardzībai.
Šai ievainojamībai ir piešķirta iezīme CVE-2018-11048 , kas tiek uzskatīts par augstu riska pakāpi, un attiecīgi piešķīra CVSS 3.0 bāzes rezultātu 8,1. Neaizsargātība ietekmē DELL EMC Data Protection Advisor versijas 6.2, 6.3, 6.4 (pirms B180 plākstera) un 6.5 (pirms B58 plākstera). Tiek konstatēts, ka ievainojamība ietekmē arī integrētās datu aizsardzības ierīces versijas 2.0 un 2.1.
Dell ir informēts par šo ievainojamību un ir izlaidis sava produkta atjauninājumus, lai mazinātu izmantošanas sekas. Plāksteri B180 vai jaunāki satur nepieciešamos atjauninājumus Dell EMC datu aizsardzības padomnieka 6.4 versijai un B58 vai jaunākos ielāpus - nepieciešamos atjauninājumus attiecīgi programmas 6.5 versijai.
Reģistrētie Dell EMC tiešsaistes atbalsta klienti var viegli lejupielādēt nepieciešamo plāksteri no EMC atbalsta vietnes. Tā kā šī ievainojamība ir pakļauta lielam izmantošanas riskam ar XEE injicēšanas ievainojamību un iespējamo DoS avāriju, lietotājiem (it īpaši lielu uzņēmumu administratoriem, kuri izmanto platformu) tiek lūgts nekavējoties lietot plāksteri, lai izvairītos no sistēmas kompromisiem.
