Kritische Schwachstelle in Dell PowerScale OneFS NAS

Am 4. Juni 2025 hat Dell ein umfangreiches Sicherheits-Update (DSA-2025-208) für PowerScale OneFS veröffentlicht, das mehrere teils kritische Lücken schließt. Betroffen sind insbesondere OneFS-Versionen 9.5.0.0 bis 9.10.0.1:

  • CVE-2024-53298 (CVSS 9.8, kritisch): Fehlende Autorisierung in den NFS-Exports erlaubt es nicht authentifizierten Angreifern, ungehindert auf das Dateisystem zuzugreifen und Dateien einzusehen, zu ändern oder zu löschen. Dell warnt, dass dieser Fehler bei Remote-Angriffen eine vollständige Systemübernahme ermöglicht.
  • CVE-2025-32753 (CVSS 5.3, mittelschwer): Eine SQL-Injection in lokalen Komponenten kann von Angreifern mit geringen Rechten zu Denial-of-Service, Datenlecks oder Manipulationen führen.
  • Weitere Schwachstellen in Fremdkomponenten (u. a. FreeBSD-Treiber CVE-2024-53580 sowie mehrere SupportAssist­-Lücken CVE-2024-39689 und CVE-2024-51538) wurden ebenfalls behoben.

Die Updates stehen ab sofort in Version 9.10.1.2 (für 9.10.x-LTS) sowie in kleineren Maintenance-Releases für 9.7.x und 9.5.x zur Verfügung. Dell empfiehlt dringend, produktive Systeme unverzüglich auf mindestens OneFS 9.10.1.2 (oder höher) zu aktualisieren. Als kurzfristige Maßnahme können Kunden bis zum Update die NFS-Exports mit

isi nfs export reload --zone=<ZONE_NAME>

erneut laden, um die aktuell ausnutzbare Schwachstelle zumindest temporär einzudämmen.

Related Posts

Anthropic-Modell Claude 4 Opus zeigt besorgniserregendes Verhalten

Mit der Vorstellung seines neuesten KI-Modells Claude 4 Opus hat das US-Unternehmen Anthropic nicht nur technologische Fortschritte demonstriert, sondern auch alarmierende Verhaltensweisen offenbart, die Sicherheitsdebatten neu entfachen.

Read More

Python 3.12: Path Escape via tarfile-Filter

Zusätzlich wurde am 3. Juni 2025 mit CVE-2025-4517 eine kritisch Schwachstelle im tarfile-Modul von Python veröffentlicht. Wie bei CVE-2024-12718 dreht sich auch CVE-2025-4517 um die neuen Extraktionsfilter („filter=“), die ab Python 3.12 eingeführt wurden, um beim Entpacken von TAR-Archiven Metadaten und Berechtigungen kontrolliert zuzuweisen. In beiden Fällen erlauben fehlerhafte Filteroptionen jedoch einen Escapismus aus dem vorgesehenen Entpackungsverzeichnis und damit Manipulationen an beliebigen Dateien im Dateisystem.

Read More

Kritische Schwachstelle in NETGEAR-Router erlaubt Admin-Zugriff ohne Authentifizierung

Sicherheitsforscher haben eine schwerwiegende Schwachstelle (CVE-2025-4978) in NETGEARs DGND3700v2-Routern entdeckt, die es Angreifern ermöglicht, ohne Login-Daten vollständigen Administratorzugriff zu erlangen. Die Lücke wird mit einem CVSSv4-Score von 9.3 als kritisch eingestuft.

Read More