聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

医疗网络安全提供商 CyberMDX的研究人员称在戴尔 Wyse Thin 客户端中发现了两个严重漏洞,可导致攻击者在受影响设备上远程执行代码并访问任意文件。

研究人员在2020年6月将问题告知戴尔公司,并指出影响运行 ThinOS 8.6及以下版本。戴尔在今天发布的更新中修复了这两个缺陷,它们的 CVSS 评分为10分,属于“严重”级别的漏洞,编号为 CVE-2020-29491 和 CVE-2020-29492。

瘦 (Thin) 客户端是指从存储在中心服务器而非本地化硬盘驱动上的资源运行的计算机。它们和服务器建立远程连接后工作,负责启动并运行应用程序和存储相关数据。

这两个缺陷都是戴尔 Wyse ThinOS 8.6 及之前版本中包含的不安全的默认配置漏洞。远程未认证攻击者可能利用 CVE-2020-29491 访问本地网络上的敏感信息,从而导致受影响的瘦客户端遭攻陷;未认证远程攻击者可能利用 CVE-2020-29492,访问可写文件并操纵任何具体目标站的配置。最糟糕的地方在于,这些配置信息中包含敏感数据如密码和账户信息,从而可能导致设备失陷。

鉴于漏洞的严重程序,建议用户尽快更新。

CyberMDX 还建议将可兼容客户端更新至 ThinOS 9,删除 INI 文件管理功能。如无法更新,则禁用 FTP,使用 HTTPS 服务器或 Wyse Management Suite,“读取或修改 .ini 文件中的这些参数可造成多种攻击场景。配置和启用 VNC 实现完整的远程控制,会泄露远程桌面凭据并操纵 DNS 结果等。”

推荐阅读

戴尔20亿美元出售 RSA 信息安全业务

开源的无客户端桌面远程网关 Apache Guacamole 被曝多个严重漏洞,可导致 RCE

微软反向 RDP 漏洞补丁不当,第三方 RDP 客户端易受攻击

两个0day,一把辛酸泪:被禁言后,研究员再曝Steam Windows 客户端本地提权0day(详)

原文链接

https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html

https://www.dell.com/support/kbdoc/zh-cn/000180768/dsa-2020-281

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

戴尔 Wyse Thin 客户端设备受两个 CVSS 10分严重漏洞影响相关推荐

  1. 数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Eclypsium 公司的研究人员发现可链接一系列漏洞在戴尔机器上实施代码执行攻击. 研究人员表示,这些漏洞的组合等同于CVSS 评分为8 ...

  2. 戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 戴尔BIOS 中存在多个高危漏洞,如遭成功利用可导致在易受攻击系统上执行代码,类似于近期存在于Insyde 软件 InsydeH2O中的固件漏洞 ...

  3. 戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 戴尔修复了一个已存在12年之久的漏洞,它影响数百万台戴尔桌面.笔记本电脑.平板,该漏洞编号为 CVE-2021-21551,影响Dell ...

  4. 戴尔 XPS 13安装Ubuntu 16.04和Windows 10双系统

    机器:戴尔DELL XPS13-9360-R1905S 尊享版13.3英寸轻薄窄边框笔记本电脑(i7-7560U 16G 512GSSD FHD Win10)无忌银 原装系统:Windows 10 一 ...

  5. dell4528s linux_【黑苹果】戴尔Dell Inspiron 灵越5548(4528S)+i5-5200U+macOS 10.14.6 efi文件下载...

    电脑配置 电脑型号: 戴尔 Inspiron 5548 笔记本电脑 操作系统: macOS Mojave 10.14.6(18G87) 处理器: 英特尔 Core i5-5200U @ 2.70GHz ...

  6. 顺势而为,戴尔加速流动文件系统进化

    今天我们来聊聊在存储领域的流动文件系统.正是因为虚拟化.电子资料存储.文件共享.数字记录保存.Web2.0技术,以及新型应用的广泛性,从而带动了流动文件系统的创新技术. 来自第三方机构的数据显示:全球 ...

  7. 人工智能应用加持,戴尔科技升级混合办公新体验

    什么才是企业员工最想要的智能办公装备?戴尔科技集团用自己最新发布的商用客户端产品,为我们给出了这个问题的答案. 全新升级的商用客户端产品 俗话说"工欲善其事,必先利其器",对于企业 ...

  8. 戴尔与鸿海 安防收购比想象的精彩一点

    戴尔发布企业级视频监控方案,鸿海约2亿元收购香港千里眼布局视频监控市场,再联想前段时间霍尼韦尔宣布收购 RSI 公司,海康威视宣布与英国电子IP门禁解决方案市场领导者Paxton的Net2门禁系统相整 ...

  9. 戴尔硬件服务器,服务器硬件、结构介绍_Intel Xeon E5-2660 v4_服务器x86服务器-中关村在线...

    服务器作为一个应用性的重要性远重于外观的IT基础设施,所有服务器的外形几乎都是千篇一律的银色金属制机箱,再加之内部因为搭载同样的x86架构至强系列产品,总让人有一种架构趋同的错觉.但是,服务器的硬件和 ...

最新文章

  1. Java8——三种多线程方式
  2. Golang —— goroutine(协程)和channel(管道)
  3. html 占位文本,跨浏览器的HTML5占位文本(PlaceHolder)方案
  4. 【转】C# typeof()实例详解
  5. php+mysql 注入基本过程
  6. 邮件服务器“单点登录”功能
  7. 博客专题计划:《在实践中深入理解常见网络协议》
  8. 使用tornado让你的请求异步非阻塞
  9. 【原创】ourphp一处SQL注射
  10. 02.二叉树打印.md
  11. matlab 散点图 对数,matlab – 对数 – 对数散点图上的半透明标记
  12. U-Net在2022年相关研究的论文推荐
  13. 应用宝shangjia安全评估报告_你的APP上架,遇到【安全评估报告】这道门槛了吗?...
  14. 7 centos 配置sudo权限_CentOS7 配置sudo并使用
  15. 技能get:找到连接WIFI设备的IP地址
  16. centos访问window共享目录
  17. SQL Server菜鸟入门
  18. 定义结构体时的初始化默认值
  19. yarn : 无法加载文件 D:\config\node\node_global\yarn.ps1,因为在此系统上禁止运行脚本。
  20. python中fig_Python fig

热门文章

  1. [转载] 的士速递3
  2. UVA10140 Prime Distance
  3. java简单算法总结
  4. Docker学习笔记 之 Docker安装配置使用
  5. 网页上无缝滚动的实现
  6. 高效Redis Client多线程操作的并发吞吐设计
  7. 日销10万台的乐视商城如何颠覆传统电商
  8. [翻译]The Data Access Application Block
  9. openstack在xiandian界面登录提示无效证书_注意:2019年医师资格证书开始发放啦!...
  10. 修改路由器mac地址_你知道吗:路由器转发报文时,会剥掉MAC地址,重新封装