CVE-tunnus: CVE-2018-1214
Vakavuus: Kriittinen (tietyissä rajoite tuilla kokoonpanoilla, Katso alla oleva huomautus)
Tuotteet, joita haavoittuvuus koskee: Dell EMC SupportAssist Enterprise 1,1 ja päivitys 1,2 (vain Windows OS Management Station-versiot)
Yhteenveto
Dell EMC SupportAssist Enterprise 1.2.1 sisältää dokumentoimattomia oletus tili-haavoittuvuuden korjauksia, joita luvattomat käyttäjät voivat mahdollisesti käyttää hyväkseen vaarantamaan haavoittuvuuden sisältävän järjestelmän.
Tiedot
SupportAssist Enterprise-versio 1,1 Luo paikallisen Windows-käyttäjä tilin nimeltä "OMEAdapterUser", jonka oletus salasana on osa asennus prosessia. Tämä tarpeeton käyttäjä tili säilyy senkin jälkeen, kun päivitys on v 1.1 – v 1.2. Hallinta konsolin käyttö oikeus voidaan saavuttaa, jos joku tuntee oletus salasanan.
Jos SupportAssist Enterprise on asennettu OpenManage Essentials (OME)-palvelimeen, OmeAdapterUser-käyttäjä tili lisätään OME OmeAdministrators-ryhmän jäseneksi. Luvaton henkilö, joka tuntee oletusarvoisen Sala sanan ja pääsyn OME Web-konsoliin, voi mahdollisesti käyttää tätä tiliä, kun hänellä on käyttö oikeus OME, jolla on järjestelmänvalvojan oikeudet.
Tarkkuus
Seuraavat Dell EMC SupportAssist Enterprise release sisältää ratkaisuja näihin haavoittuvuuksiin:
Workaround
OmeAdapterUser-käyttäjä tili voidaan poistaa manuaalisesti. Tämän käyttäjä tilin poistaminen ei vaikuta SupportAssist Enterprise-tai OpenManage Essentials-toiminnon toimintaan.
Linkki korjaus toimiin:
Asiakkaat voivat ladata ohjelmia Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server -sivulta.
Dell EMC suosittelee, että kaikki käyttäjät määrittävät näiden tietojen sovellettavuuden omiin tilanteisiin ja ryhtyvät asianmukaisiin toimenpiteisiin. Tässä esitetyt tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Dell EMC kieltää kaikki suorat ja epäsuorat takuut, mukaan lukien TAKUUT MYYTÄVYYDESTÄ, sopivuudesta tiettyyn tarkoitukseen, omistus oikeus ja oikeuksien loukkaamattomuudesta. Missään tapa uksessa ei Dell EMC tai sen tavaran toimittajia ole vastuussa mistään vahingoista, mukaan lukien suora, epäsuora, vahingollinen, välillinen, liike voiton menetys tai erityisvahingot, vaikka Dell EMC tai sen toimittajille olisi ilmoitettu tällaisen vahingoista. Jotkin osavaltiot eivät salli välillisten tai satunnaisten vahinkojen vahingon korvaus vastuun poissulkemista tai rajoittamista, joten edellä mainittua rajoitusta ei välttämättä sovelleta.