CVE-id: CVE-2018-1214
Alvorlighed: Kritisk (i specifikke begrænsede konfigurationer, se bemærkning nedenunder)
Berørte produkter: Dell EMC SupportAssist Enterprise 1,1 og opgradering til 1,2 (kun i Windows OS-styrings versioner)
Auto
Dell EMC SupportAssist Enterprise 1.2.1 indeholder rettelser til en ikke-dokumenteret standardkonto svaghed, der muligvis kan udnyttes af uautoriserede brugere til at svække det berørte system.
Oplysninger
SupportAssist Enterprise version 1,1 opretter en lokal Windows-brugerkonto med navnet "OMEAdapterUser" med en standard adgangskode som en del af installationsprocessen. Denne unødige brugerkonto forbliver også, selv efter opgradering fra v 1.1 til v 1.2. Adgang til styrings konsollen kan nås af en person med kendskab til standardadgangskoden.
Hvis SupportAssist Enterprise er installeret på en server, der kører OpenManage Essentials (OME), tilføjes OmeAdapterUser-brugerkontoen som medlem af OmeAdministrators-gruppen for OME. En uautoriseret person med kendskab til standardadgangskoden og adgang til OME webkonsol kan muligvis bruge denne konto til at få adgang til den berørte installation af OME med OmeAdministrators-rettigheder.
Sagsløsningsaktiviteten
Følgende Dell EMC SupportAssist Enterprise-udgivelse indeholder løsninger på disse sårbarheder:
Problem
OmeAdapterUser-brugerkonto kan slettes manuelt. Sletning af denne brugerkonto påvirker ikke funktionaliteten i SupportAssist virksomheds-eller OpenManage Essentials.
Link til retsmidler:
Kunder kan downloade software fra siden Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server .
Dell EMC anbefaler, at alle brugere afgør, om disse oplysninger kan anvendes i deres individuelle situationer, og træffer passende foranstaltninger. De oplysninger, der er anført heri, leveres "som den er og forefindes" uden nogen form for garanti. Dell EMC fraskriver sig ethvert ansvar, enten udtrykkeligt eller underforstået, herunder garantier for salgbarhed, egnethed til et bestemt formål, titel og ikke-krænkelse. Under ingen omstændigheder skal Dell EMC eller dets leverandører være ansvarlig for alle skader, herunder direkte, indirekte, HÆNDELIGE, skader, tab af virksomheds fortjeneste eller særlige skader, selv hvis Dell EMC eller dens leverandører har været underrettet om muligheden for en sådan tabe. Nogle stater tillader ikke udelukkelse eller begrænsning af ansvar for følgeskader eller hændelige tab, således at ovenstående begrænsning muligvis ikke gælder.