Dell schließt unzählige Sicherheitslücken in Avamar, iDRAC und NetWorker

Die Entwickler von Dell haben in Avamar und NetWorker massenhaft Schwachstellen in Komponenten wie Apache Tomcat und Spring Security geschlossen, die die Backuplösungen nutzen. Die Server-Fernverwaltung iDRAC bekommt ebenfalls ein Sicherheitsupdate.

Verwundbare Backuplösungen

In drei Warnmeldungen listet Dell die nun geschlossenen Sicherheitslücken in Komponenten von Drittanbietern auf, die Avamar und NetWorker betreffen.

Darunter fallen Komponenten wie Apache HTTP Server, Expat, OpenSSL und Vim. Der Großteil der geschlossenen Lücken stammt aus dem Jahr 2025. Darunter sind auch „kritische“ Schwachstellen (etwa Samba CVE-2025-10230), über die Schadcode auf Systeme gelangen kann. Es wurden aber auch Lücken geschlossen, die schon über zehn Jahre alt sind (zum Beispiel Apache HttpClient CVE-2015-5262 „mittel“).

Weitere Gefahr

Server-Admins sollten iDRAC-Service-Module für Linux und Windows auf den aktuellen Stand bringen. Geschieht das nicht, können sich Angreifer mit niedrigen Nutzerrechten aufgrund von Fehlern bei der Zugriffskontrolle höhere Nutzerrechte verschaffen (CVE-2026-23856). In einer Warnmeldung versichern die Entwickler, das Sicherheitsproblem in der Ausgabe 5.4.1.1 gelöst zu haben. Alle vorigen Versionen sollen verwundbar sein.

(des)