Dell EMC SupportAssist Enterprise (Server, úložiště, síť) – Chyba zabezpečení nedokumentované výchozí účty

ID CVE: CVE-2018-1214

Závažnost: Kritický (v případě specifických omezených konfigurací naleznete v poznámce níže)

Ovlivněné produkty: Dell EMC SupportAssist Enterprise 1,1 a upgrade na 1,2 (pouze verze pro správu Windows OS Management)

Souhrnné

Dell EMC SupportAssist Enterprise 1.2.1 obsahuje opravy chyby zabezpečení nedokumentované výchozí možnosti, které by mohly zneužít neautorizovaní uživatelé, kteří by mohli ohrozit ohrožený systém.

Protokol

SupportAssist Enterprise verze 1,1 vytvoří místní uživatelský účet systému Windows s názvem "OMEAdapterUser" s výchozím heslem jako součást procesu instalace. Tento nadbytečný uživatelský účet zůstává i po upgradu z verze v 1.1 na verzi 1.2.  Přístup ke konzole pro správu může dosáhnout osoba s vědomím výchozího hesla. 

Pokud je SupportAssist Enterprise nainstalován na serveru se systémem OpenManage Essentials (OME), účet OmeAdapterUser je přidán jako člen skupiny OmeAdministrators pro OME. Neautorizovanou osobu s vědomím výchozího hesla a přístupem k webové konzole OME by mohli tento účet použít k získání přístupu k ovlivněné instalaci OME s oprávněními OmeAdministrators. 

Poznámka: Úroveň závažnosti (zásadní) je založena na konfiguracích, které SupportAssist Enterprise nainstalován na server, na němž je spuštěna OME s povolenou funkcí Správa konfigurace serveru na bázi poplatků. Dell EMC doporučuje, aby zákazníci zohlednili faktory nasazení, které mohou být pro jejich prostředí relevantní, aby zhodnotili jejich celkové riziko.

Poznámka: Tento problém se netýká Linux verzí SupportAssist Enterprise v 1.1 a upgradu na verzi v 1.2.

Poznámka: Problém neovlivnil žádná jiná verze aplikace SupportAssist Enterprise nebo koncového uživatele.

Rozhodnutí

Následující Dell EMC SupportAssist Enterprise Release obsahuje řešení těchto chyb zabezpečení:

• Dell EMC SupportAssist Enterprise verze 1.2.1

Dell EMC doporučuje okamžitou aktualizaci na verzi 1.2.1 zákazníkem.

Zástupné řešení

Uživatelský účet OmeAdapterUser lze odstranit manuálně. Odstranění tohoto uživatelského účtu neovlivní funkčnost SupportAssist Enterprise nebo OpenManage Essentials.

Odkaz na opravné prostředky:

Zákazníci mohou software stáhnout ze stránky Dell EMC SupportAssist Enterprise verze 1.2.1 Windows Management Server .

Dell EMC doporučuje, aby všichni uživatelé v jednotlivých situacích určili použitelnost těchto informací a podniknout příslušné kroky. Informace uvedené v tomto dokumentu jsou poskytovány "tak, jak jsou", bez záruky jakéhokoli druhu. Dell EMC odmítá všechny záruky, výslovně uvedené nebo mlčky předpokládané, včetně záruk obchodovatelnosti, vhodnosti pro určitý účel, titulu a neporušení pravidel. V žádném případě nebudou Dell EMC ani svým dodavatelům odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát zisků z obchodu nebo zvláštních škod, a to i v případě, že Dell EMC nebo jejích dodavatelů byla upozorněna na možnost těchto škody. Některé státy nedovolují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, proto se může stát, že výše uvedené omezení nebude platit.