Kritische Sicherheitslücke im Dell NAS System PowerScale

Dell hat am 4. Juni 2025 die Sicherheitsempfehlung DSA-2025-208 für PowerScale OneFS veröffentlicht, mit der mehrere teils kritische Schwachstellen gestopft werden. Besonders gravierend ist eine fehlende Authorisierung in der NFS-Exportfunktion (CVE-2024-53298, CVSS 9.8), über die sich ein Angreifer unbemerkt Zugriff auf beliebige Dateien verschaffen und das System komplett kompromittieren kann. Darüber hinaus wurden eine SQL-Injection in OneFS (CVE-2025-32753, CVSS 5.3) sowie weitere Lücken in FreeBSD-Komponenten (CVE-2024-53580) und im SupportAssist (CVE-2024-39689, CVE-2024-51538) behoben.

Betroffene Versionen liegen zwischen 9.5.0.0 und 9.10.0.1; Dell empfiehlt ein Upgrade auf mindestens OneFS 9.10.1.2 (für LTS-Kunden) bzw. 9.7.1.8 oder 9.5.1.3, je nach eingesetzter Code-Line. Als kurzfristige Abhilfemaßnahme kann das erneute Laden der NFS-Exportzonen mit dem Befehl isi nfs export reload --zone=<zone_name> eingesetzt werden, bis das Update eingespielt ist. Administratoren sollten das Update umgehend ausrollen, um unbefugten Zugriff und Datenmanipulation zu verhindern.

Related Posts

Kritische Schwachstelle in Dell PowerScale OneFS NAS

Am 4. Juni 2025 hat Dell ein umfangreiches Sicherheits-Update (DSA-2025-208) für PowerScale OneFS veröffentlicht, das mehrere teils kritische Lücken schließt. Betroffen sind insbesondere OneFS-Versionen 9.5.0.0 bis 9.10.0.1:

Read More

Kritische Schwachstelle in NETGEAR-Router erlaubt Admin-Zugriff ohne Authentifizierung

Sicherheitsforscher haben eine schwerwiegende Schwachstelle (CVE-2025-4978) in NETGEARs DGND3700v2-Routern entdeckt, die es Angreifern ermöglicht, ohne Login-Daten vollständigen Administratorzugriff zu erlangen. Die Lücke wird mit einem CVSSv4-Score von 9.3 als kritisch eingestuft.

Read More

Kritische DoS-Schwachstelle in mod_security2 – CVE-2025-47947

Eine schwerwiegende Sicherheitslücke bedroht derzeit Webserver, die das Apache-Modul mod_security2 einsetzen. Die am 21. Mai 2025 veröffentlichte Schwachstelle mit der Kennung CVE-2025-47947 ermöglicht es Angreifern, durch gezielt präparierte Anfragen einen Denial-of-Service (DoS) auszulösen – und das mit nur einer einzigen HTTP-Anfrage.

Read More