Data Protection Central版本1.0、1.0.1、18.1、18.2和19.1包含不正确的信任证书链漏洞

CVE编号

CVE-2019-3762

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-19

漏洞描述

Data Protection Central版本1.0、1.0.1、18.1、18.2和19.1包含信任证书链不当漏洞。远程未经身份验证的攻击者可能会通过从Data Protection Central获取CA签名的证书来冒充有效的系统来破坏数据的完整性，从而利用此漏洞。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.dell.com/support/security/zh-cn/details/537007/DSA-2019-135-Dell-EMC-Data-Protection-Central-Improper-Chain-of-Trust-Vulnerability

参考链接
https://www.dell.com/support/security/en-us/details/537007/DSA-2019-135-Dell-...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	dell	emc_data_protection_central	1.0	-
	运行在以下环境
	应用	dell	emc_data_protection_central	1.0.1	-
	运行在以下环境
	应用	dell	emc_data_protection_central	18.1	-
	运行在以下环境
	应用	dell	emc_data_protection_central	18.2	-
	运行在以下环境
	应用	dell	emc_data_protection_central	19.1	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.0	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.1	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.2	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.3	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.4	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CWE-ID	漏洞类型
CWE-295	证书验证不恰当

Exp相关链接

- avd.aliyun.com