Dell PowerVault ML6000和Quantum Scalar i500 操作系统命令注入漏洞

漏洞信息详情

Dell PowerVault ML6000和Quantum Scalar i500 操作系统命令注入漏洞

• CNNVD编号：CNNVD-201406-022
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2014-2959
  
• 漏洞类型：
  
  
  操作系统命令注入
  
• 发布时间：
  
  2014-06-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-05
  
• 厂        商：
  
  quantum
• 漏洞来源：

Dell PowerVault ML6000和Quantum Scalar i500都是磁带库产品，它用于大容量数据存储且能够为存储环境提供更快速、更可靠的数据保护。前者是美国戴尔（Dell）公司的产品；后者是美国昆腾（Quantum）公司的产品。

使用i8.2.0.1 (641G.GS003)之前版本固件的Dell PowerVault ML6000磁带备份系统和使用i8.2.2.1 (646G.GS002)及之前版本的固件Quantum Scalar i500磁带备份系统中的logViewer.htm页面存在安全漏洞。远程攻击者可借助‘pathname’参数中的shell元字符利用该漏洞执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=XCC7W&osCode=WNET&fileId=3369748178&languageCode=en&categoryId=TA

http://www.quantum.com/serviceandsupport/softwareanddocumentationdownloads/si500/index.aspx

来源:US-CERT Vulnerability Note:CERT-VN

名称:VU#124908

链接:http://www.kb.cert.org/vuls/id/124908