Dell修補PowerProtect DD儲存設備大量漏洞，包括導致系統與資料受損的嚴重漏洞

身為儲存與伺服器設備領導廠商之一的Dell，於2月5日發布旗下主力備份儲存伺服器產品PowerProtect DD的安全性更新DSA-2025-022，修補了180多個漏洞，包括7個高危險性的重大漏洞。

PowerProtect DD是源自Data Domain，是一套備份儲存應用伺服器平臺，透過底層的DD OS作業系統與相關軟體元件，來為備份資料提供重複資料刪除與一系列進階管理、資料保護與服務，而Dell這次發布的安全更新，修補的部分是DD OS作業系統內含的相關軟體元件。

這次修補的漏洞中，有7個嚴重性被列為重大等級，依嚴重性高低依序為：

CVE-2024-41110是9.9分的重大漏洞，漏洞出在Docker容器軟體引擎，會造成攻擊者繞過外掛的AuthZ授權軟體元件，從而非授權存取系統並修改配置。

CVE-2024-24790是9.8分的重大漏洞，出包的部份是在HTTP協定庫，這套元件因為處理經由IPv4映射的IPv6網址發生錯誤，可能造成攻擊者藉此發起拒絕服務或中間人攻擊。

CVE-2018-6913是9.8分的重大漏洞，問題在於Perl軟體元件有緩衝區溢出漏洞，可能導致任意執行程式碼的風險。

CVE-2024-38428是9.1分的重大漏洞，問題在於Wget軟體元件的url.c格式處理錯誤，可能造成攻擊者執行惡意腳本或破壞資料下載。

CVE-2024-37371，嚴重性9.1分的重大漏洞，是MIT Kerberos 5網路認證協定中的漏洞導致，可能造成攻擊者繞過身分驗證，從而危及系統存取控制。

CVE-2024-33871是8.8分的重大漏洞，問題是在Artifex Ghostscript軟體元件，可能造成攻擊者藉由建立PostScript文件，利用自訂程式庫執行任意程式碼，從而破壞系統與資料完整性。

CVE-2024-24577是8.6分的重大漏洞，因為libgit2軟體元件有問題，可能造成攻擊者遠端執行程式碼或竄改儲存庫。

這次Dell修補的漏洞，影響的DD OS作業系統軟體版本涵蓋7.10、7.13、7.7.1到8.1版，以及搭載這些軟體的PowerProtect DD儲存應用伺服器、PowerProtect DD Virtual Edition虛擬化版，Dell APEX Protection Storage雲端服務，PowerProtect DD Management Center管理控制臺。若要解決這些資安風險，需要盡快是將DD OS更新到7.10.1.50、7.13.1.20、8.3.0.0版以後的版本。