Dell EMC SupportAssist Enterprise (Server, lagring, nettverk)-ikke-dokumentere standard konto-sikkerhetsproblem

CVE ID: CVE-2018-1214

Alvors grad: Kritisk (i spesifikke begrensede konfigureringer, se merknader nedenfor)

Berørte produkter: Dell EMC SupportAssist Enterprise 1,1 og oppgradere til 1,2 (kun Windows OS Management Station versions)

Sammendrag

Dell EMC SupportAssist Enterprise 1.2.1 inneholder reparasjoner for et ikke-dokuments sikkerhets problem som potensielt kan utnyttes av uautoriserte brukere for å skade det berørte systemet.

Mer

SupportAssist Enterprise versjon 1,1 oppretter en lokal Windows-brukerkonto med navnet "OMEAdapterUser" med standard passord som en del av installasjons prosessen. Denne unødvendig bruker kontoen er også igjen selv etter at du har oppgradert fra v 1.1 til v 1.2.  Tilgang til administrasjons konsollen kan oppnås av noen med kjennskap til standard passordet. 

Hvis SupportAssist Enterprise er installert på en server som kjører OpenManage Essentials (OME), legges bruker kontoen for OmeAdapterUser til som et medlem av OmeAdministrators-gruppen for OME. En uautorisert person med kunnskap om standard passord og tilgang til OME nett konsoll kan potensielt bruke denne kontoen for å få tilgang til den berørte installasjonen av OME med OmeAdministrators-rettigheter. 

Merk: Alvorlighets graden (kritisk) er basert på konfigurasjoner der SupportAssist Enterprise er installert på en server som kjører OME med funksjonen for administrasjon av avgifts BAS ert serverkonfigurasjon aktivert. Dell EMC anbefaler at kundene tar hensyn til eventuelle implementerings faktorer som kan være relevant for miljøet for å vurdere sin generelle risiko.

Merk: Linux versjoner av SupportAssist Enterprise v 1.1 og oppgradering til v 1.2 er ikke berørt av dette problemet.

Merk: Problemet hadde ikke innvirkning på andre bedrifter eller slutt bruker versjoner av SupportAssist.

Versjonen

Følgende Dell EMC SupportAssist Enterprise Release inneholder løsninger på disse sikkerhets problemene:

• Dell EMC SupportAssist Enterprise versjon 1.2.1

Dell EMC anbefaler at alle kunder oppgraderer til v 1.2.1 umiddelbart.

Løsninger

OmeAdapterUser bruker kontoen kan slettes manuelt. Sletting av denne bruker kontoen har ikke innvirkning på funksjonaliteten til SupportAssist Enterprise eller OpenManage Essentials.

Kobling til retts midlene:

Kunder kan laste ned program vare fra Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server- siden.

Dell EMC anbefaler at alle brukere bestemmer tilgjengeligheten av denne informasjonen til sine egne situasjoner og utfører passende tiltak. Informasjonen som er beskrevet i dette dokumentet leveres "som den er" uten garanti av noe slag. Dell EMC fraskriver seg alle garantier, enten uttrykkelig eller underforstått, inkludert garantier om salgbarhet, egnethet for et bestemt formål, tittel og ikke-krenkelse. Dell EMC eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for eventuelle skader som leveres inkludert direkte, indirekte, tilfeldige, konsekvens, tap av forretnings fortjeneste eller spesielle skader, selv om Dell EMC eller dets leverandører er blitt informert om muligheten for slike erstatning. Noen jurisdiksjoner tillater ikke fraskrivelse eller begrensning av ansvar for følges Kader eller tilfeldige skader, så det er mulig at ovennevnte begrensning ikke gjelder.