Dell Warns of Critical Flaws in Enterprise Products, Including CVE-2024-37143 (CVSS 10)
2024/12/12 SecurityOnline — Dell がリリースしたセキュリティ・アップデートは、PowerFlex/InsightIQ/Data Lakehouse などのエンタープライズ製品に影響をおよぼす、2つの脆弱性に対処するためのものだ。これらの脆弱性 CVE-2024-37143/CVE-2024-37144 の悪用に成功した攻撃者は、リモート・コード実行および情報漏洩の可能性を手にする。
- CVE-2024-37143 (CVSS 10.0)
ファイル・アクセス前の不適切なリンク解決に起因する脆弱性。Dell は、「未認証のリモートの攻撃者は、この脆弱性を悪用してシステム上で任意のコード実行を行う可能性がある」と述べている。この脆弱性が影響を及ぼすのは、Dell PowerFlex/InsightIQ/Data Lakehouse 製品の複数のバージョンとなる。 - CVE-2024-37144 (CVSS 8.2)
機密情報の不適切な保管に起因する脆弱性。高権限のローカル・アクセス権を持つ攻撃者に、機密情報の窃取をゆるす可能性がある。Dell は、「攻撃者は、開示された情報を悪用して、クラスタ内のポッドに不正にアクセスする可能性を手にする」と警告している。
この脆弱性は、複数の製品/バージョンに影響を及ぼす:
- Dell PowerFlex appliance:IC 46.381.00/IC 46.376.00 未満
- Dell PowerFlex rack:RCM 3.8.1.0/3.7.6.0 未満
- Dell PowerFlex custom node:PowerFlex Manager 4.6.1.0 未満
- Dell InsightIQ:5.1.1 未満
- Dell Data Lakehouse:1.2.0.0 未満
すでに Dell は、これらの製品の更新バージョンをリリースし、一連の脆弱性を修正している。すべてのユーザーに対して同社が推奨するのは、この最新バージョンへと、速やかにアップグレードすることだ。詳細なガイダンスについては、Dell のサポート・リソース (KB Article 000231116 など) で確認できる。
Dell のエンタープライズ製品に存在する脆弱性が FIXED しました。CVE-2024-37143 は、CVSS 値が 10.0 と評価されています。ご利用のチームは、ご注意ください。よろしければ、Dell で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.