Dell EMC Avamar and Integrated Data Protection Appliance Installation Manager不正确访问控制漏洞

CVE编号

CVE-2018-1217

利用情况

暂无

补丁情况

N/A

披露时间

2018-04-10

漏洞描述

Dell EMC Avamar Server和EMC Integrated Data Protection Appliance都是美国戴尔（Dell）公司的产品。Dell EMC Avamar Server是一套用于服务器的完全虚拟化的备份和恢复软件。EMC Integrated Data Protection Appliance是一套基于磁盘的备份和恢复解决方案。Avamar Installation Manager是其中的一个Avamar安装管理器。 Dell EMC Avamar Server和EMC Integrated Data Protection Appliance中的Avamar Installation Manager存在安全漏洞。远程攻击者可利用该漏洞读取或更改Local Download Service (LDLS)凭证，或使用该凭证登录Dell EMC Online Support。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https://www.dellemc.com

参考链接
http://seclists.org/fulldisclosure/2018/Apr/14
http://www.securitytracker.com/id/1040641
https://www.exploit-db.com/exploits/44441/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	dell	emc_avamar	7.3.1	-
	运行在以下环境
	应用	dell	emc_avamar	7.4.1	-
	运行在以下环境
	应用	dell	emc_avamar	7.5.0	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.0	-
	运行在以下环境
	应用	dell	emc_integrated_data_protection_appliance	2.1	-
	运行在以下环境
	系统	amazon_2	edk2	*		Up to (excluding) 20190501stable-2.amzn2.0.1
	运行在以下环境
	系统	fedora_29	edk2-qosb	*		Up to (excluding) 20190308stable-1.fc29
	运行在以下环境
	系统	fedora_30	edk2-qosb	*		Up to (excluding) 20190308stable-1.fc30
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.2-5.el7
	运行在以下环境
	系统	suse_12	ovmf-2017+git1510945757.b2662641d5	*		Up to (excluding) 3.8
	运行在以下环境
	系统	ubuntu_16.04.7_lts	edk2	*		Up to (excluding) 0~20160408.ffea0a2c-2ubuntu0.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	edk2	*		Up to (excluding) 0~20180205.c0d9813c-2ubuntu0.2

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-862	授权机制缺失
NVD-CWE-noinfo

Exp相关链接

• https://www.exploit-db.com/exploits/44441

- avd.aliyun.com