ID CVE: CVE-2018-1214
Závažnost: Kritický (v případě specifických omezených konfigurací naleznete v poznámce níže)
Ovlivněné produkty: Dell EMC SupportAssist Enterprise 1,1 a upgrade na 1,2 (pouze verze pro správu Windows OS Management)
Souhrnné
Dell EMC SupportAssist Enterprise 1.2.1 obsahuje opravy chyby zabezpečení nedokumentované výchozí možnosti, které by mohly zneužít neautorizovaní uživatelé, kteří by mohli ohrozit ohrožený systém.
Protokol
SupportAssist Enterprise verze 1,1 vytvoří místní uživatelský účet systému Windows s názvem "OMEAdapterUser" s výchozím heslem jako součást procesu instalace. Tento nadbytečný uživatelský účet zůstává i po upgradu z verze v 1.1 na verzi 1.2. Přístup ke konzole pro správu může dosáhnout osoba s vědomím výchozího hesla.
Pokud je SupportAssist Enterprise nainstalován na serveru se systémem OpenManage Essentials (OME), účet OmeAdapterUser je přidán jako člen skupiny OmeAdministrators pro OME. Neautorizovanou osobu s vědomím výchozího hesla a přístupem k webové konzole OME by mohli tento účet použít k získání přístupu k ovlivněné instalaci OME s oprávněními OmeAdministrators.
Rozhodnutí
Následující Dell EMC SupportAssist Enterprise Release obsahuje řešení těchto chyb zabezpečení:
Zástupné řešení
Uživatelský účet OmeAdapterUser lze odstranit manuálně. Odstranění tohoto uživatelského účtu neovlivní funkčnost SupportAssist Enterprise nebo OpenManage Essentials.
Odkaz na opravné prostředky:
Zákazníci mohou software stáhnout ze stránky Dell EMC SupportAssist Enterprise verze 1.2.1 Windows Management Server .
Dell EMC doporučuje, aby všichni uživatelé v jednotlivých situacích určili použitelnost těchto informací a podniknout příslušné kroky. Informace uvedené v tomto dokumentu jsou poskytovány "tak, jak jsou", bez záruky jakéhokoli druhu. Dell EMC odmítá všechny záruky, výslovně uvedené nebo mlčky předpokládané, včetně záruk obchodovatelnosti, vhodnosti pro určitý účel, titulu a neporušení pravidel. V žádném případě nebudou Dell EMC ani svým dodavatelům odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát zisků z obchodu nebo zvláštních škod, a to i v případě, že Dell EMC nebo jejích dodavatelů byla upozorněna na možnost těchto škody. Některé státy nedovolují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, proto se může stát, že výše uvedené omezení nebude platit.