Sicherheitslücken in FlashArray und FlashBlade geschlossen

FlashArray ist von allen folgenden Schwachstellen betroffen, FlashBlade nur von CVE-2024-0005:

• CVE-2024-0001 (Score: 10): Ein lokales Konto, das für die Erstkonfiguration konzipiert ist und aktiv bleibt, kann für eine Rechteerweiterung ausgenutzt werden.
• CVE-2024-0002 (Score: 10): Ein Konto mit erweiterten Berechtigungen kann für einen Remote-Zugriff auf den Speicher genutzt werden.
• CVE-2024-0003 (Score: 9.1): Durch Ausnutzung eines administrativen Dienstes können Angreifende Konten mit erweiterten Berechtigungen erstellen.
• CVE-2024-0004 (Score: 9.1): Ein Administrator kann auf dem FlashArray beliebige Befehle ausführen und so seine Rechte erweitern.
• CVE-2024-0005 (Score: 9.1): Angreifende können mit einer präparierten SNMP-Konfiguration beliebige Befehle ausführen.

Je nach Schwachstelle sind verschiedene Versionen von FlashArray und FlashBlade betroffen. Weitere Informationen erhalten Sie unter dem Link zum Sicherheitsbulletin weiter unten.

Pure Storage entwickelt Hardware- und Softwareprodukte für Flash-Datenspeicher. Das Unternehmen hat nach eigenen Angaben weltweit 12.500 Kunden. Der Hauptsitz ist in Mountain View in Kalifornien.

Diese Schwachstellen stellen ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten dar, die in FlashArray- oder FlashBlade-Systemen gespeichert sind.

Der Hersteller empfiehlt, FlashArray auf die Version 6.3.15, 6.5.1 bzw. 6.6.1 und FlashBlade auf die Version 4.1.12 bzw. 4.3.2 zu aktualisieren.