Headline
CVE-2021-36305: DSA-2021-180: Dell PowerScale OneFS Security Update for Multiple Vulnerabilities.
Dell PowerScale OneFS contains an Unsynchronized Access to Shared Data in a Multithreaded Context in SMB CA handling. An authenticated user of SMB on a cluster with CA could potentially exploit this vulnerability, leading to a denial of service over SMB.
Vaikutus
Medium
Tiedot
Proprietary Code CVE
Description
CVSS Base Score
CVSS Vector String
CVE-2021-36305
Dell PowerScale OneFS contains an Unsynchronized Access to Shared Data in a Multithreaded Context in SMB CA handling. An authenticated user of SMB on a cluster with CA may potentially exploit this vulnerability, leading to a denial of service over SMB.
6.5
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Third-party Component
CVE
More information
FreeBSD
CVE-2021-29626
https://nvd.nist.gov/vuln/detail/CVE-2021-29626
In OneFS, a copy-on-write logic failed to invalidate shared memory page mappings between multiple processes which amy allow an unprivileged process to maintain a mapping after it is freed, allowing the process to read private data belonging to other processes or the kernel.
Proprietary Code CVE
Description
CVSS Base Score
CVSS Vector String
CVE-2021-36305
Dell PowerScale OneFS contains an Unsynchronized Access to Shared Data in a Multithreaded Context in SMB CA handling. An authenticated user of SMB on a cluster with CA may potentially exploit this vulnerability, leading to a denial of service over SMB.
6.5
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Third-party Component
CVE
More information
FreeBSD
CVE-2021-29626
https://nvd.nist.gov/vuln/detail/CVE-2021-29626
In OneFS, a copy-on-write logic failed to invalidate shared memory page mappings between multiple processes which amy allow an unprivileged process to maintain a mapping after it is freed, allowing the process to read private data belonging to other processes or the kernel.
Dell Technologies suosittelee, että kaikki asiakkaat ottavat huomioon sekä CVSS-peruspistemäärän että kaikki asiaankuuluvat väliaikaiset ja ympäristöön liittyvät pisteet, jotka voivat vaikuttaa tietyn tietoturvahaavoittuvuuden mahdolliseen vakavuuteen.
Tuotteet, joihin asia vaikuttaa ja tilanteen korjaaminen
CVEs Addressed
Affected Versions
Updated Versions
Link to Update
CVE-2021-36305
8.2.0, 8.2.1, 9.0.0.x, 9.2.0.x, and 9.1.1.x
Upgrade your version of OneFS
PowerScale OneFS Downloads Area
8.2.2, 9.1.0.x , and 9.2.1.x
Download and install the latest RUP
CVE-2021-29626
8.2.0, 8.2.1, 9.0.0.x, 9.2.0.x, and 9.1.1.x
Upgrade your version of OneFS
8.2.x, 9.1.0.x , and 9.2.1.x
Download and install the latest RUP
CVEs Addressed
Affected Versions
Updated Versions
Link to Update
CVE-2021-36305
8.2.0, 8.2.1, 9.0.0.x, 9.2.0.x, and 9.1.1.x
Upgrade your version of OneFS
PowerScale OneFS Downloads Area
8.2.2, 9.1.0.x , and 9.2.1.x
Download and install the latest RUP
CVE-2021-29626
8.2.0, 8.2.1, 9.0.0.x, 9.2.0.x, and 9.1.1.x
Upgrade your version of OneFS
8.2.x, 9.1.0.x , and 9.2.1.x
Download and install the latest RUP
Keinoja ongelman kiertämiseen tai lieventämiseen
Workarounds or Mitigations
CVE-2021-36305
Disabling Continuous Availability (CA) on all SMB shares that has it enabled prevents the issue.
CVE-2021-29626
Disallow ISI_PRIV_LOGIN_CONSOLE and ISI_PRIV_LOGIN_SSH privileges to non-administrative users.
Versiohistoria
Revision
Date
Description
1.0
30 Sep 2021
Initial Release
Asiaan liittyvät tiedot
Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide
Tämän Dell Technologiesin tietoturvatiedotteen tiedot on luettava, ja niiden avulla voidaan välttää tilanteita, jotka voivat johtua tässä kuvatuista ongelmista. Dell Technologiesin tietoturvatiedotteet tuovat tärkeitä tietoturvatietoja haavoittuvuudelle alttiiden tuotteiden käyttäjien tietoon. Dell Technologies arvioi riskin perustuen asennettujen järjestelmien hajautetun joukon keskimääräisiin riskeihin, eikä se välttämättä vastaa paikallisen asennuksen ja yksittäisen ympäristön todellista riskiä. Suositus on, että kaikki käyttäjät ratkaisevat näiden tietojen sovellettavuuden yksittäisten ympäristöjen mukaan ja ryhtyvät tarvittaviin toimenpiteisiin. Tässä esitetyt tiedot annetaan “sellaisenaan” ilman minkäänlaista takuuta. Dell Technologies kiistää kaikki suorat tai epäsuorat takuut, mukaan lukien takuut soveltuvuudesta kaupankäynnin kohteeksi, sopivuudesta tiettyyn käyttötarkoitukseen, omistusoikeudesta ja loukkaamattomuudesta. Dell Technologies, sen tytäryhtiöt tai toimittajat eivät missään tilanteessa ole vastuussa mistään vahingoista, jotka johtuvat tässä asiakirjassa mainituista tiedoista tai toimenpiteistä, joihin käyttäjä päättää ryhtyä. Tämä koskee kaikkia suoria, epäsuoria, satunnaisia, välillisiä, liikevoiton menetykseen liittyviä tai erityisluontoisia vahinkoja, vaikka Dell Technologies tai sen tytäryhtiöt tai toimittajat olisivat saaneet tiedon tällaisten vahinkojen mahdollisuudesta. Jotkin osavaltiot eivät salli satunnaisten tai seuraamuksellisten vahinkojen vastuun poistamista tai rajoittamista, joten edellä mainittua rajoitusta sovelletaan vain lain sallimassa laajuudessa.