Dell Technologies, kötü niyetli kullanıcıların etkilenen sistemlerin güvenliğini aşmasına olanak verebilecek birden fazla güvenlik açığını gidermek amacıyla Wyse Management Suite (WMS) için bir güvenlik güncellemesi yayınladı.
Wyse Management Suite, BT yöneticisinin Dell istemci cihazlarını her yerden güvenli bir şekilde yönetmesine olanak tanıyan esnek bir hibrit bulut çözümüdür.
Dell Wyse Management Suite’te belirlenen güvenlik açıkları, saldırganların kimlik doğrulama mekanizmalarını atlamasına, rastgele dosyaları silmesine veya hizmet reddine neden olabilmesine olanak tanıdığından önem derecesine göre “Yüksek” olarak sınıflandırılır.
Bu zayıflıklar, etkilenen sistemlerin güvenliğini ve işlevselliğini potansiyel olarak tehlikeye atabilir.
Güvenlik Açıklarının Ayrıntıları
Wyse Management Suite (WMS) sürüm 4.4 ve önceki sürümlerinde çeşitli güvenlik açıkları tespit edilmiştir.
Özellikle CVE-2024-7553, WMS içinde kullanılan, MongoDB’yi etkileyen bir üçüncü taraf bileşen güvenlik açığıdır. Bu CVE hakkında kapsamlı ayrıntılar için lütfen Ulusal Güvenlik Açığı Veritabanına (NVD) bakın.
Üçüncü taraf sorununa ek olarak, birden fazla özel kod güvenlik açığı bulunmaktadır:
CVE-2024-49595 bir adrese hitap eder Yakalama-Tekrar Oynatmayla Kimlik Doğrulamayı Atlama. Bu güvenlik açığı WMS 4.4 ve önceki sürümlerini etkileyerek, uzaktan erişime sahip yüksek ayrıcalıklı bir saldırganın sistemden yararlanmasına olanak tanır ve potansiyel olarak hizmet reddine yol açar. CVSS puanı var 7,6 (Yüksek).
CVE-2024-49597 Aşırı Kimlik Doğrulama Girişimlerinin Uygunsuz Kısıtlanmasını içerir. WMS 4.4 ve önceki sürümlerini de etkileyen bu güvenlik açığı, yüksek ayrıcalıklı bir saldırganın koruma mekanizmalarını atlamasına olanak tanıyabilir. 7,6 (Yüksek) CVSS puanına sahiptir ve CVE-2024-49595 ile aynı vektörü paylaşır.
CVE-2024-49596 Eksik Yetkilendirme ile ilgilidir. WMS 4.4 ve önceki sürümlerde bu güvenlik açığından yararlanılması, hizmet reddine ve dosyaların rastgele silinmesine neden olabilir. CVSS puanı 5,9 (Orta)’dır.
Dell, müşterilerin yalnızca CVSS temel puanlarını değil, aynı zamanda ilgili dağıtım ortamlarındaki her bir güvenlik açığının potansiyel ciddiyetini değerlendirmek için ilgili zamansal ve çevresel puanları da dikkate almalarını tavsiye eder.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Etkilenen Ürünler ve Çözüm
Dell aşağıdaki ürünleri belirledi ve çözüm ayrıntılarını sağladı:
| Adreslenen CVE Kimlikleri | Ürün | Etkilenen Sürümler | Düzeltilmiş Sürümler | Yayın tarihi |
|---|---|---|---|---|
| CVE-2024-7553 CVE-2024-49595, CVE-2024-49597, CVE-2024-49596 |
Dell Wyse Yönetim Paketi | Sürüm 4.4 ve öncesi | 4.4.1 veya üstü | 25 Kasım 2024 |
| CVE-2024-49596 | Dell Wyse Management Suite Havuzu | Sürüm 4.4 ve öncesi | 4.4.1 veya üstü | 25 Kasım 2024 |
Önerilen Eylem: Tanımlanan tüm güvenlik açıklarını gidermek için WMS sürüm 4.4.1 veya sonraki bir sürüme yükseltin.
Geçici Çözümler ve Azaltmalar
Hiçbiri mevcut değil. Belirlenen güvenlik açıklarına yönelik herhangi bir geçici çözüm veya azaltım mevcut olmadığından Dell, güncellemenin uygulanmasını önemle tavsiye eder.
Dell Technologies, yakın zamanda tespit edilen güvenlik açıklarını sorumlu bir şekilde açıklayan kişi ve kuruluşlara şükranlarını sunar.
Özellikle CVE-2024-49596, Ahmed Y. Elmogy tarafından rapor edildi ve CVE-2024-49595, REQON BV’den Harm Blankers, Jasper Westerman ve Yanick de Pater tarafından tanımlandı. ürünler.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.