Dell EMC Common
Object Manager (ECOM), componente utilizado en varios productos de Dell EMC que
se encuentran afectados por una vulnerabilidad XXE (XML External Entity).
Una vulnerabilidad de
XXE se aprovecha de la configuración del intérprete XML permitiendo:
- Enviar
información a una máquina externa (entidades externas).
- Aumentar la
carga de red y sistema (ataque de denegación de servicio).
ECOM se ve afectado
por una vulnerabilidad de inyección XXE debido a la configuración del
analizador XML del producto.
El fallo permitiría
incluir referencias hacia entidades externas definidas por el atacante o
configuraciones especialmente manipuladas que serían procesadas por el parser
XML afectado. Lo que podría ser aprovechado por un atacante remoto para saltar
restricciones de seguridad y acceder a ficheros protegidos o provocar una
denegación de servicio.
Recursos afectados
1.
Dell
EMC Unisphere for VMAX Virtual Appliance en versiones previas a 8.4.0.8.
2.
Dell
EMC Solutions Enabler Virtual Appliance en versiones previas a 8.4.0.8
3.
Dell
EMC VASA Provider Virtual Appliance en versiones previas a 8.4.0.512
4.
Dell
EMC SMIS en versiones previas a 8.4.0.6
5.
Dell
EMC VMAX Embedded Management (eManagement) versión 1.4.0.347 y previas.
6.
Dell
EMC VNX2 Operating Environment (OE) for File en versiones previas a 8.1.9.231.
7.
Dell
EMC VNX2 Operating Environment (OE) for Block en versiones previas a
05.33.009.5.231.
8.
Dell
EMC VNX1 Operating Environment (OE) for File en versiones previas a 7.1.82.0.
9.
Dell
EMC VNX1 Operating Environment (OE) for Block en versiones previas a
05.32.000.5.225.
10.
Dell
EMC VNXe3200 Operating Environment (OE) en todas sus versiones.
11.
Dell
EMC VNXe1600 Operating Environment (OE) en versiones previas a 3.1.9.9570228.
12.
Dell
EMC VNXe 3100/3150/3300 Operating Environment (OE) en todas sus versiones.
13.
Dell
EMC ViPR SRM versiones 3.7, 3.7.1, 3.7.2 (sólo si se usa Dell EMC Host
Interface para Windows).
14.
Dell
EMC ViPR SRM versiones 4.0, 4.0.1, 4.0.2, 4.0.3 (sólo si se usa Dell EMC Host
Interface para Windows).
15.
Dell
EMC XtremIO versiones 4.x.
16.
Dell
EMC VMAX eNAS versiones 8.x.
17.
Dell
EMC Unity Operating Environment (OE) en versiones previas a 4.3.0.1522077968.
Se recomienda aplicar
los parches de seguridad correspondientes desde la web del fabricante.
Mas información
- DSA-2018-013: Dell EMC ECOM XML External Entity
Injection Vulnerability http://seclists.org/fulldisclosure/2018/Apr/54
- XML External Entity (XXE) Processing https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
Fuente: Hispasec