客戶服務專區

客戶滿意度調查表

課程滿意度調查表

ODF實體課程 教學滿意度問卷調查表

2024年9月30日 星期一

轉載「 Pure Storage修補儲存設備重大漏洞」訊息

Pure Storage修補儲存設備重大漏洞

9月23日Pure Storage針對5項重大層級的資安漏洞發布公告,並指出這些漏洞影響FlashArray、FlashBlade,攻擊者有可能藉此權限提升,或是遠端執行任意程式碼,該公司表示,上述漏洞已經修補完成。

 本週Pure Storage發布資安公告,指出旗下儲存系統FlashArray和FlashBlade存在5項重大層級的漏洞,其中有2個CVSS風險評分達到了10分(滿分)的程度,可說是相當危險。這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取,甚至有可能破壞儲存設備的運作,該公司已發布新版軟體進行修補。

對於這些漏洞在臺灣處理的情形,我們也詢問Pure Storage,他們表示已通知客戶,並正與他們密切合作以解決任何相關的問題。9月29日Pure Storage通知我們此漏洞處理最新狀況,他們表示,臺灣客戶目前沒有收到相關需要解決的問題,會持續與客戶保持密切聯絡。

 根據漏洞的CVSS風險評分高低而言,最嚴重的是分數達到滿分的CVE-2024-0001、CVE-2024-0002。其中,CVE-2024-0001影響6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray,起因是儲存設備初始化過程當中,用於陣列配置的本機帳號仍維持啟動的狀態,使得攻擊者有機會藉此得到權限提升。

另一個漏洞CVE-2024-0002則與高權限帳號有關,攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是FlashArray的特定版本,涵蓋5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版,以及6.5.0版FlashArray。

值得留意的是,CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的嚴重程度也很高,這些漏洞的CVSS風險評估皆達到9.1分。其中的CVE-2024-0003,攻擊者可藉由遠端管理服務建置特權帳號,另外兩個漏洞,則能讓攻擊者遠端執行任意命令。

【資安新聞-iThome】

Pure Storage修補儲存設備重大漏洞


詳細資訊請參考:https://www.ithome.com.tw/news/165226

沒有留言:

張貼留言