云端服务后院失火,EMC和VMware新弱点让备份资料免密码也能存取
就在众人为CPU漏洞Meltdown和Spectre忙得焦头烂额之际,一家资安公司又披露了3个漏洞,都是Dell EMC资料保护产品的重大漏洞。不少云端服务采用的备份还原工具EMC Avamar、EMC NetWorker和EMC Integrated Data Protection Appliance上都有的一项共用元件Avamar Installation Manager ,DigitalDefense资安公司 在1月4日公布了3个 重大 漏洞 ,随后Dell EMC也紧急 释出修补 。
这三个漏洞包括了一个可以绕过资安服务验证机制的漏洞、一个可以任意透过使用者上传服务来存取任意档案的漏洞,第三个漏洞则可以让攻击者上传任意档案。DigitalDefense警告,结合这三个漏洞,攻击者不用密码就可以任意存取或窜改备份资料。
影响产品版本包括了Avamar Server 7.1.x、7.2.x、7.3.x、7.4.x和7.5.0,NetWorker Virtual Edition 9.0.x、9.1.x和9.2.x,以及EMC Integrated Data Protection Appliance 2.0。EMC已经释出了修补程式。
VMware的vSphere Data Protection 资料备份产品也有同样的3个漏洞,影响版本包括了5.x,6.0.x和6.1.x,不过VMware早一步 在1月2日就发布了修补程式 。