Dell Technologies, güç amaçlı aktörlerin etkilenen sistemlerden ödün vermesine izin verebilecek birden fazla güvenlik açığını ele alan güç ölçeği işletim sistemi için kritik bir güvenlik danışmanlığı (DSA-2025-208) yayınladı.
CVE-2024-53298 olarak izlenen bu güvenlik açıklarının en şiddetli olanı, NFS ihracat işlevinde eksik bir yetkilendirme kusuru içerir.
CVSS taban skoru 9.8 (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H) ile bu kritik güvenlik açığı, dosya sistemine yetkisiz erişim, potansiyel olarak haksız erişim sağlayan, potansiyel olarak haksız erişim sağlayan, uzaktan erişimine sahip, yetkilendirilmemiş saldırganlara izin verir.
.png
)
Böyle bir kusur, sömürülürse tam sistem uzlaşmasına yol açabilir.
Bir diğer önemli güvenlik açığı olan CVE-2025-32753, CVSS baz skoru 5.3 ile derecelendirilen, OneFS’de bir SQL enjeksiyon sorunudur (CWE-89).
Bu kusur, düşük ayrıcalıklı bir yerel saldırganın keyfi SQL sorguları yürütmesine izin verir, bu da potansiyel olarak hizmet reddi, bilgi ifşası veya sistem verileri ile kurcalama ile sonuçlanır.
Özellikle, bu SQL enjeksiyonu, etkilenen uygulamaya özel olarak hazırlanmış istekler gönderilerek tetiklenebilir ve kullanıcı tarafından sağlanan verilerin yetersiz dezenfekte edilmesinden yararlanabilir.
Güvenlik açıkları, üçüncü taraf kütüphaneler (FreeBSD, DestekSassist) ve tescilli Dell kodu dahil olmak üzere birçok bileşeni etkiler.
Aşağıda anahtar CVES’in bir özeti, etkileri ve önerilen iyileştirme adımları:
| CVE kimliği | Tanım | CVSS Puanı | Etkilenen sürümler | İyileştirilmiş versiyon |
|---|---|---|---|---|
| CVE-2024-53298 | NFS dışa aktarmada eksik yetkilendirme, dosya sistemine uzaktan, kimlik doğrulanmamış erişim sağlar. | 9.8 | 9.5.0.0 – 9.10.0.1 | 9.10.1.2 veya üstü |
| CVE-2025-32753 | SQL enjeksiyon güvenlik açığı, yerel saldırganların keyfi SQL komutları yürütmesini sağlar. | 5.3 | 9.5.0.0 – 9.10.0.1 | 9.10.1.2 veya üstü |
| CVE-2024-53580 | Freebsd üçüncü taraf bileşen güvenlik açığı. | – | 9.5.0.0 – 9.10.0.1 | 9.10.1.2 veya üstü |
| CVE-2024-39689 | DestekSasist Üçüncü Taraf Bileşen Güvenlik Açığı. | – | 9.5.0.0 – 9.10.0.1 | 9.10.1.2 veya üstü |
| CVE-2024-51538 | DestekSasist Üçüncü Taraf Bileşen Güvenlik Açığı. | – | 9.5.0.0 – 9.10.0.1 | 9.10.1.2 veya üstü |
Dell, bilinen tüm güvenlik açıklarının ele alınmasını sağlamak için tüm müşterilerin en son uzun vadeli destek (LTS) sürümüne, özellikle 9.10.1.2 sürümüne veya üstüne yükseltilmesini önerir.
Eski kod satırlarını çalıştıran müşteriler için, hedeflenen güncellemeler (9.7.1.8 veya 9.5.1.3 gibi) de mevcuttur.
Çözümler, hafifletmeler ve onaylar
Hemen yükseltemeyen kuruluşlar için Dell, CVE-2024-53298 için geçici bir çözüm sunar: Yöneticiler, aşağıdaki komutu kullanarak her bölgeyi yapılandırılmış NFS ihracatıyla yeniden yüklemelidir:
bashisi nfs export reload --zone=zone_name
Bu eylem, müşteri bağlantılarını bozmadan anında sorunu çözer, ancak tam bir yükseltme olana kadar gelecekteki sömürüyü önlemez. uygulanmış.
Dell, Ubisectech Sirius ekibinden Zzcentury’nin CVE-2025-32753’ü bildirmek için katkısını kabul ederek ürün güvenliğinin korunmasında koordineli kırılganlık açıklamasının önemini vurgulamaktadır.
Yöneticiler resmi danışmanlığı incelemeleri, gerekli yamaları uygulamaya ve devam eden güncellemeler için Dell’in güvenlik kaynaklarına danışmaları istenir.
Powerscale OneFS ortamlarının güvenliği, güvenlik açığı yönetiminde en iyi uygulamalara hızlı bir şekilde iyileştirilmeye ve bağlılığa bağlıdır.
Sağlanan bilgiler, herhangi bir garanti olmaksızın “olduğu gibi” dir.
Dell Technologies, satılabilirlik ve belirli bir amaç için uygunluk da dahil olmak üzere tüm garantileri reddeder. Hiçbir durumda Dell, bu bilgilerin kullanımından kaynaklanan zararlardan sorumlu olmayacaktır.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun