Kritische Schwachstelle in Dell PowerScale OneFS NAS
Am 4. Juni 2025 hat Dell ein umfangreiches Sicherheits-Update (DSA-2025-208) für PowerScale OneFS veröffentlicht, das mehrere teils kritische Lücken schließt. Betroffen sind insbesondere OneFS-Versionen 9.5.0.0 bis 9.10.0.1:
- CVE-2024-53298 (CVSS 9.8, kritisch): Fehlende Autorisierung in den NFS-Exports erlaubt es nicht authentifizierten Angreifern, ungehindert auf das Dateisystem zuzugreifen und Dateien einzusehen, zu ändern oder zu löschen. Dell warnt, dass dieser Fehler bei Remote-Angriffen eine vollständige Systemübernahme ermöglicht.
- CVE-2025-32753 (CVSS 5.3, mittelschwer): Eine SQL-Injection in lokalen Komponenten kann von Angreifern mit geringen Rechten zu Denial-of-Service, Datenlecks oder Manipulationen führen.
- Weitere Schwachstellen in Fremdkomponenten (u. a. FreeBSD-Treiber CVE-2024-53580 sowie mehrere SupportAssist-Lücken CVE-2024-39689 und CVE-2024-51538) wurden ebenfalls behoben.
Die Updates stehen ab sofort in Version 9.10.1.2 (für 9.10.x-LTS) sowie in kleineren Maintenance-Releases für 9.7.x und 9.5.x zur Verfügung. Dell empfiehlt dringend, produktive Systeme unverzüglich auf mindestens OneFS 9.10.1.2 (oder höher) zu aktualisieren. Als kurzfristige Maßnahme können Kunden bis zum Update die NFS-Exports mit
isi nfs export reload --zone=<ZONE_NAME>
erneut laden, um die aktuell ausnutzbare Schwachstelle zumindest temporär einzudämmen.