Dell EMC Storage Monitoring and Reporting反序列化代码执行漏洞安全通告
发布时间 2019-12-02漏洞编号和级别
CVE编号:CVE-2019-18580,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定
影响版本
Dell EMC Storage Monitoring and Reporting 4.3.1版本
漏洞概述
Dell EMC Storage Monitoring and Reporting是美国戴尔(Dell)公司的一套存储性能监控软件。该软件提供存储性能监控和报告生成等功能。
Dell EMC Storage Monitoring and Reporting 4.3.1版本中存在代码问题漏洞。远程攻击者可通过发送特制的RMI请求利用该漏洞在目标主机上执行任意代码。
Java RMI服务中存在特定缺陷,该服务默认情况下侦听TCP端口52569。 该问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致不信任数据的反序列化。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.dell.com/support/security/zh-cn/details/538977/DSA-2019-176-Dell-EMC-Storage-Monitoring-and-Reporting-SMR-Java-RMI-Deserialization-of-Untruste。
参考链接
https://www.zerodayinitiative.com/advisories/ZDI-19-996/
京公网安备11010802024551号