BiznetBiznet

By Murat Aydemir

Dell EMC Open Manage System Administrator Improper Range Header Processing Güvenlik Açıkları


CVE: CVE-2019-3721
CVSS: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
Risk Seviyesi: Orta
Ürün: Open Manage System Administrator (OMSA)
Etkilenen Sürümler: Open Manage System Administrator (OMSA) versiyon 9.3.0 öncesi tüm versiyonlar
Yama Tarihi: 24.04.2019
Raporlayan: Murat Aydemir
Problem Detayları: Dell EMC Open Manage System Administrator (OMSA) uygulamasında Improper Range Header Processing zafiyeti tespit edilmiştir. Kimliği doğrulanmamış saldırganlar, ilgili zafiyeti kullanarak sunucu üzerinde aşırı bellek tüketimine yol açarak hizmet kesintisine sebep olabilmektedir.
Çözüm/Öneri: Open Manage System Administrator (OMSA)’nın 9.3.0 ya da daha güncel bir sürümüne geçilmesi önerilmektedir.
Referanslar:
https://www.dell.com/support/article/tr/tr/trbsdt1/sln316915/dsa-2019-060-dell-emc-open-manage-system-administrator-multiple-vulnerabilities
https://nvd.nist.gov/vuln/detail/CVE-2019-3721

By Melih Berk Ekşioğlu

Dell Aventail Management Console SSRF Açıklığı

CVE:CVE-2016-5120 (Reserved)

Ürün: Dell Aventail Management Console

Etkilenen Sürümler: Tüm Dell Aventail Management Console sürümleri

Raporlayan: Melih Berk Ekşioğlu

Raporlama Tarihi: 22 Nisan 2016

Üretici Cevabı: 22 Nisan 2016

Yama Tarihi: 16 Haziran 2016

Problem Detayları: SSRF (Server Side Request Forgery) saldırganların, zafiyeti barındıran sistemden harici sistemlere istek yollatabilmesi problemidir. Söz konusu durum sayesinde saldırganlar bu sistem ile aynı ağda veya Internet üzerine bulunan diğer sistemlere, bu sistemin ip adresi ile herkese açık bir proxy gibi istek yollayabilmektedirler. Belirtilen problem yerel ağa erişim, kimlik gizleme, farklı sistemlere size ait bir sistem üzerinden saldırı düzenleme, port ve ağ taraması yapma gibi işlemler için rahatlıkla kötüye kullanılabilir.

Çözüm/Öneri: Üretici tarafından yayımlanan hot-fix’in uygulanması tavsiye edilmektedir.
https://support.software.dell.com/sonicwall-secure-mobile-access/kb/204906

Referanslar: http://www.dell.com/learn/nz/en/nzbsd1/campaigns/contributors-dell-software-security?c=nz&l=en&s=bsd&cs=nzbsd1