漏洞信息详情

Dell PowerVault ML6000和Quantum Scalar i500 操作系统命令注入漏洞

• CNNVD编号：CNNVD-201406-022
• 危害等级： 超危
  
• CVE编号： CVE-2014-2959
• 漏洞类型： 操作系统命令注入
• 发布时间： 2014-06-05
• 威胁类型： 远程
• 更新时间： 2014-06-05
• 厂        商： quantum
• 漏洞来源：

漏洞简介

Dell PowerVault ML6000和Quantum Scalar i500都是磁带库产品，它用于大容量数据存储且能够为存储环境提供更快速、更可靠的数据保护。前者是美国戴尔（Dell）公司的产品；后者是美国昆腾（Quantum）公司的产品。

使用i8.2.0.1 (641G.GS003)之前版本固件的Dell PowerVault ML6000磁带备份系统和使用i8.2.2.1 (646G.GS002)及之前版本的固件Quantum Scalar i500磁带备份系统中的logViewer.htm页面存在安全漏洞。远程攻击者可借助‘pathname’参数中的shell元字符利用该漏洞执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=XCC7W&osCode=WNET&fileId=3369748178&languageCode=en&categoryId=TA

http://www.quantum.com/serviceandsupport/softwareanddocumentationdownloads/si500/index.aspx

参考网址

来源:US-CERT Vulnerability Note:CERT-VN

名称:VU#124908

链接:http://www.kb.cert.org/vuls/id/124908

受影响实体

• Quantum Scalar_i500_firmware:I8.2.2.1_%28646g.Gs002%29  

补丁

• XCC7W_ML6000_A28_ZPE
• snapi-2.0.1_120i.GE004-i500
• 5-00533-04
• qtm-i500-driver-v7_5_0_0