Dell schließt unzählige Sicherheitslücken in Avamar, iDRAC und NetWorker

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Entwickler von Dell haben in Avamar und NetWorker massenhaft Schwachstellen in Komponenten wie Apache Tomcat und Spring Security geschlossen, die die Backuplösungen nutzen. Die Server-Fernverwaltung iDRAC bekommt ebenfalls ein Sicherheitsupdate.

Verwundbare Backuplösungen

In drei Warnmeldungen listet Dell die nun geschlossenen Sicherheitslücken in Komponenten von Drittanbietern auf, die Avamar und NetWorker betreffen.

• Dell NetWorker Multiple Third-Party Component Vulnerabilities
• Dell NetWorker Multiple Third Party Component Vulnerabilities
• Dell Avamar, Dell Networker Virtual Edition (NVE) and Dell PowerProtect DP Series Appliance / Dell Integrated Data Protection Appliance (IDPA) Multiple Third-Party Vulnerabilities

Darunter fallen Komponenten wie Apache HTTP Server, Expat, OpenSSL und Vim. Der Großteil der geschlossenen Lücken stammt aus dem Jahr 2025. Darunter sind auch „kritische“ Schwachstellen (etwa Samba CVE-2025-10230), über die Schadcode auf Systeme gelangen kann. Es wurden aber auch Lücken geschlossen, die schon über zehn Jahre alt sind (zum Beispiel Apache HttpClient CVE-2015-5262 „mittel“).

Weitere Gefahr

Server-Admins sollten iDRAC-Service-Module für Linux und Windows auf den aktuellen Stand bringen. Geschieht das nicht, können sich Angreifer mit niedrigen Nutzerrechten aufgrund von Fehlern bei der Zugriffskontrolle höhere Nutzerrechte verschaffen (CVE-2026-23856). In einer Warnmeldung versichern die Entwickler, das Sicherheitsproblem in der Ausgabe 5.4.1.1 gelöst zu haben. Alle vorigen Versionen sollen verwundbar sein.

(des)