Kritische Sicherheitslücken in Pure Storage FlashArray und FlashBlade
Pure Storage hat mehrere kritische Sicherheitslücken in den Purity-Versionen von FlashArray und FlashBlade identifiziert. Die Schwachstellen betreffen insbesondere die FlashArray Purity-Versionen 6.3 bis 6.4, während FlashBlade von den meisten Sicherheitslücken nicht betroffen ist. Die schwerwiegendsten Schwachstellen (CVE-2024-0001 und CVE-2024-0002) ermöglichen es Angreifern, erhöhte Privilegien zu erlangen oder remote auf das Array zuzugreifen. Beide Schwachstellen haben einen CVSS-Score von 10.0, was sie als kritisch einstuft.
Eine weitere Schwachstelle (CVE-2024-0005) betrifft sowohl FlashArray als auch FlashBlade und ermöglicht es böswilligen Nutzern, durch eine manipulierte SNMP-Konfiguration beliebige Befehle auszuführen. Pure Storage empfiehlt betroffenen Kunden dringend, ihre Purity-Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu minimieren. Betroffene Versionen sind unter anderem Purity//FA 6.3.0 bis 6.4.10 für FlashArray und Purity//FB 4.1.0 bis 4.3.1 für FlashBlade.