Dell EMC修補VPlex GeoSynchrony檔案存取安全缺陷
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:545
CVE編號
CVE-2018-11078
內文
●概述:
Dell EMC旗下VPLEX係儲存虛擬化平臺,能整合相異存架構,而VPlex硬體控制器是多核心刀鋒裝置,每組VPlex控制器運行作業系統GeoSynchrony,搭配Witness自動執行負載平衡、故障處理,經研究指出Witness因檔案存取許可權設定不符安全規範,造成重要系統檔案不設防,攻擊者可遠端接觸VPN組態值,若佔據中間人位置,甚可偽造、控制兩端點之VPN連線流量,干擾通訊隱私,戴爾公司業已升級GeoSynchrony軟體,相關資源無公開下載點,企業客戶需洽原廠授權代理商始可獲得。
●編註:
虛擬儲存架構VPlex,其作業系統環境GeoSynchrony 5.0以後內含Witness軟體部件(以虛擬機器型態呈現),而Witness出現File Permission錯誤,影響檔案存取安全性,遠端駭客驗證身份後,可逕自閱讀VPN組態檔內容,亦可更改資料,故能從事man-in-the-middle攻擊,變造並重放二端點間VPN資料流,破壞VPN本該有的資訊隱密服務。
影響產品
VPlex GeoSynchrony 5.4 /VPlex GeoSynchrony 5.5/ VPlex GeoSynchrony 6.0
解決辦法
升級VPlex GeoSynchrony 6.1以後版本,需軟體變更授權,企業用戶請洽Dell地區代表,或連繫VPLEX.KARST.DA@emc.com、vplex.karst.da@emc.com。
相關連結
- https://appuals.com/dell-emc-vplex-geosynchrony-users-requested-to-upgrade-to-v6-1-to-avoid-insecure
- https://seclists.org/fulldisclosure/2018/Sep/10
- https://securitytracker.com/id/1041613
- https://community.emc.com/docs/DOC-66861
- https://en.wikipedia.org/wiki/EMC_VPLEX
- https://community.emc.com/docs/DOC-33634
- http://www.sysage.com.tw/Guest/Information/EMC_EDMItem.aspx?id=41&parentid=28
- https://pbs.twimg.com/media/DVSuXBQVAAAPUo5.jpg