Kritische Schwachstellen in Dell PowerScale OneFS

Dell hat im Security Advisory DSA-2025-119 mehrere schwerwiegende Sicherheitslücken in seinem PowerScale OneFS-Betriebssystem bekannt gegeben. Die Schwachstellen betreffen verschiedene OneFS-Versionen zwischen 9.4.0.0 und 9.10.1.0 und ermöglichen Angreifern unter anderem Remote Code Execution, nicht autorisierten Systemzugriff, Denial of Service und Informationslecks.

Am kritischsten stuft Dell die Schwachstelle CVE-2025-27690 ein: Diese erlaubt es, durch Verwendung von Standardpasswörtern auf privilegierte Benutzerkonten zuzugreifen – ohne vorherige Authentifizierung. Die CVSS-Bewertung liegt hier bei 9.8 von 10. Weitere Schwachstellen umfassen falsche Autorisierungsprüfungen (CVE-2025-26330), Integer-Überläufe (CVE-2025-22471) sowie Lücken bei Ressourcenkontrolle, Dateizugriff und Verzeichnisauflistung.

Dell hat entsprechende Sicherheitsupdates bereitgestellt, u.a. mit der Version 9.10.1.1 als aktuellste Long-Term Support (LTS)-Release. Kunden sollten dringend auf die neueste Version upgraden, da viele ältere Releases nicht mehr unterstützt und somit nicht gepatcht werden.

Für CVE-2025-27690 existieren temporäre Workarounds, wie das Sperren privilegierter Systemnutzer, das Deaktivieren der Web- und API-Zugänge sowie die Einschränkung des Netzwerkzugriffs. Diese Maßnahmen bieten jedoch keinen vollständigen Schutz – ein Update ist daher zwingend erforderlich.

Weitere Details und Downloadlinks finden sich im offiziellen Dell PowerScale OneFS Support-Bereich. Kunden wird geraten, umgehend Maßnahmen zur Absicherung ihrer Systeme zu ergreifen.

Related Posts

Kritische Schwachstellen in HPE Aruba AOS

Am 8. April 2025 hat Hewlett Packard Enterprise in einem Sicherheitsbulletin (HPESBNW04845 rev.1) mehrere schwerwiegende Schwachstellen in HPE Aruba Networking AOS-10 und AOS-8 bekanntgegeben. Die betroffenen Komponenten umfassen Mobility Conductors, Controller und Gateways, einschließlich WLAN- und SD-WAN-Gateways, die über Aruba Central verwaltet werden.

Read More

Use-After Free Schwacsthelle in XZUtils

In den Versionen 5.3.3alpha bis einschließlich 5.8.0 von XZ Utils wurde eine schwerwiegende Sicherheitslücke entdeckt (CVE-2025-31115), die beim Einsatz des Multithread-Decoders zu einem Absturz oder potenziell gefährlichem Verhalten führen kann. Konkret kann es bei ungültigen Eingaben zur Verwendung bereits freigegebenen Speichers (Use-After-Free) sowie zu Schreibzugriffen auf ungültige Speicheradressen kommen.

Read More

Kritische Sicherheitslücke in S3 Plattform in MinIO CVE-2025-31489

Die S3 Alternative MinIO hat eine kritische Schwachstelle (CVE-2025-31489) in seiner Software entdeckt, die in der Version RELEASE.2023-05-18T00-05-36Z eingeführt wurde und mit der Version RELEASE.2025-04-03T14-56-28Z behoben ist. Die Sicherheitslücke betrifft die unvollständige Signaturvalidierung bei Uploads mit „unsigned-trailer“, was es Angreifern ermöglicht, mit beliebigen Geheimnissen Objekte in Buckets hochzuladen – vorausgesetzt, sie kennen den Access Key und haben WRITE-Rechte auf den Ziel-Bucket.

Read More