漏洞信息详情
Dell PowerVault ML6000和Quantum Scalar i500 操作系统命令注入漏洞
- CNNVD编号:CNNVD-201406-022
- 危害等级: 超危
- CVE编号: CVE-2014-2959
- 漏洞类型: 操作系统命令注入
- 发布时间: 2014-06-05
- 威胁类型: 远程
- 更新时间: 2014-06-05
- 厂 商: quantum
- 漏洞来源:
漏洞简介
Dell PowerVault ML6000和Quantum Scalar i500都是磁带库产品,它用于大容量数据存储且能够为存储环境提供更快速、更可靠的数据保护。前者是美国戴尔(Dell)公司的产品;后者是美国昆腾(Quantum)公司的产品。
使用i8.2.0.1 (641G.GS003)之前版本固件的Dell PowerVault ML6000磁带备份系统和使用i8.2.2.1 (646G.GS002)及之前版本的固件Quantum Scalar i500磁带备份系统中的logViewer.htm页面存在安全漏洞。远程攻击者可借助‘pathname’参数中的shell元字符利用该漏洞执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=XCC7W&osCode=WNET&fileId=3369748178&languageCode=en&categoryId=TA
http://www.quantum.com/serviceandsupport/softwareanddocumentationdownloads/si500/index.aspx
参考网址
来源:US-CERT Vulnerability Note:CERT-VN
名称:VU#124908
链接:http://www.kb.cert.org/vuls/id/124908
受影响实体
- Quantum Scalar_i500_firmware:I8.2.2.1_%28646g.Gs002%29
补丁
- XCC7W_ML6000_A28_ZPE
- qtm-i500-driver-v7_5_0_0
- snapi-2.0.1_120i.GE004-i500
- 5-00533-04
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论