云端服务后院失火，EMC和VMware新弱点让备份资料免密码也能存取

就在众人为CPU漏洞Meltdown和Spectre忙得焦头烂额之际，一家资安公司又披露了3个漏洞，都是Dell EMC资料保护产品的重大漏洞。不少云端服务采用的备份还原工具EMC Avamar、EMC NetWorker和EMC Integrated Data Protection Appliance上都有的一项共用元件Avamar Installation Manager ，DigitalDefense资安公司 在1月4日公布了3个 重大 漏洞 ，随后Dell EMC也紧急 释出修补 。

这三个漏洞包括了一个可以绕过资安服务验证机制的漏洞、一个可以任意透过使用者上传服务来存取任意档案的漏洞，第三个漏洞则可以让攻击者上传任意档案。DigitalDefense警告，结合这三个漏洞，攻击者不用密码就可以任意存取或窜改备份资料。

影响产品版本包括了Avamar Server 7.1.x、7.2.x、7.3.x、7.4.x和7.5.0，NetWorker Virtual Edition 9.0.x、9.1.x和9.2.x，以及EMC Integrated Data Protection Appliance 2.0。EMC已经释出了修补程式。

VMware的vSphere Data Protection 资料备份产品也有同样的3个漏洞，影响版本包括了5.x,6.0.x和6.1.x，不过VMware早一步 在1月2日就发布了修补程式 。