検出

Dell Wyse Management Suite < 3.2の複数の脆弱性(DSA-2021-070)

medium Nessus プラグイン ID 148360

Language:

概要

リモートのWindowsホストにインストールされているDell Wyse Management Suiteのバージョンは、複数の脆弱性の影響を受けます。

説明

リモートのWindowsホストにインストールされているDell Wyse Management Suiteのバージョンは、3.2より前です。そのため、以下を含む複数の脆弱性による影響を受けます:

 - ロール名パーサーのユーザー入力の不適切な検証により、初期化されていないメモリの使用が引き起こされ、認証されていない攻撃者が特別に細工されたリクエストを使用して、サービス拒否を引き起こす可能性があります。
 この問題の影響を受ける対象: MongoDB Inc. MongoDB Server v4.4 より前のバージョン、4.2.9より前のv4.2のバージョン。(CVE-2020-7925)

 - データベースクエリの実行権限のあるユーザーが、IndexBoundsBuilderで不変条件を発生させる特別に細工されたクエリを発行することで、サービス拒否状態が発生する可能性があります。この問題の影響を受ける対象: Dell Wyse Management Suiteで使用される4.2.2より前のMongoDB Inc. MongoDB Server v4.2のバージョン。(CVE-2019-20924)

 - データベースクエリの実行権限のあるユーザーが、負の値をオーバーフローするために$mod演算子を使用する特別に細工されたクエリを発行することで、サービス拒否状態が発生する可能性があります。この問題の影響を受ける対象: Dell Wyse Management Suiteで使用される4.4.1より前のMongoDB Inc. MongoDB Server v4.4のバージョン、4.2.9より前のv4.2のバージョン、4.0.20より前のv4.0のバージョン、3.6.20より前のv3.6のバージョン。(CVE-2019-2392)

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Dell Wyse Management Suite 3.2またはそれ以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?0f790118

プラグインの詳細

深刻度: Medium

ID: 148360

ファイル名: dell_wyse_management_suite_dsa-2021-070.nasl

バージョン: 1.4

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2021/4/7

更新日: 2023/8/3

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-7928

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:dell:wyse_management_suite

必要な KB アイテム: installed_sw/Dell Wyse Management Suite

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/3/31

脆弱性公開日: 2021/3/31

参照情報

CVE: CVE-2019-20924, CVE-2019-2392, CVE-2020-7921, CVE-2020-7923, CVE-2020-7925, CVE-2020-7928, CVE-2021-21533

IAVB: 2021-B-0024-S