Összefoglaló
Több Dell PowerConnect termék sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, a támadók pedig szolgáltatás megtagadást idézhetnek elő és feltörhetik a sérülékeny rendszert.
Leírás
- Az SSH szerver egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
- Az OpenManage web alkalmazás egy nem részletezett hibája kihasználható az eszköz reset-elésére egy közvetlen kérést küldve egy nem dokumentált OSPF URL-re.
- A GoAhead web szerver login oldalának egy nem részletezett hibája kihasználható az eszköz válaszképtelenné tételére, egy speciálisan formázott POST kérést küldve egy 16 karakternél hosszabb “username” paraméterrel.
A sérülékenységet az alábbi termék verziókban jelentették:
- Dell PowerConnect 3524p firmware version 2.0.0.48.
- Dell PowerConnect 5324 firmware version 2.0.1.4.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: www.kb.cert.org
CVE-2013-3594 - NVD CVE-2013-3594
CVE-2013-3595 - NVD CVE-2013-3595
CVE-2013-3606 - NVD CVE-2013-3606
SECUNIA 56553