Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) Feature Release バージョン 7.7.1.0 から 8.5、LTS2025 リリースバージョン 8.3.1.0 から 8.3.1.20、LTS2024 リリースバージョン 7.13

この脆弱性は、リモートアクセスを持つ低権限の攻撃者が、認証プロセスを悪用してシステム内の権限を昇格させることを可能にします。攻撃者は、機密データへの不正アクセス、システムの改ざん、さらにはシステム全体の制御奪取を試みる可能性があります。特に、証明書検証のプロセスが不十分な場合、攻撃者は偽造証明書を使用して認証を突破し、システムに侵入する可能性があります。この脆弱性は、Dell PowerProtect Data Domain環境のセキュリティを著しく損なうリスクをもたらします。

Organizations heavily reliant on Dell PowerProtect Data Domain for data protection and disaster recovery are at significant risk. Specifically, environments with legacy DD OS versions (7.7.1.0–8.5) and those with less stringent certificate management practices are particularly vulnerable. Shared hosting environments utilizing Data Domain appliances also face increased risk due to the potential for cross-tenant exploitation.

• linux / server:

journalctl -u dd-authd -g 'certificate validation failed'

• linux / server:

ps aux | grep -i certificate_validation

• generic web:

curl -I <data_domain_ip>/login.jsp | grep 'Certificate-Transparent'

1. 2026-04-17Disclosure

   disclosure

1. 予約済み2026-01-16
2. 公開日2026-04-17
3. 更新日2026-04-20
4. EPSS 更新日2026-04-24

Dellは、この脆弱性を修正するバージョン8.6.0.0以降へのアップグレードを推奨しています。アップグレードが一時的にシステムに影響を与える可能性がある場合は、事前にバックアップを作成し、テスト環境でアップグレード手順を確認してください。WAFやプロキシサーバーを使用している場合は、証明書の検証を強化するルールを実装することを検討してください。また、不正な証明書の使用を検知するためのログ監視や侵入検知システムの導入も有効です。アップグレード後、証明書検証が正しく機能していることを確認してください。