Идентификатор CVE: CVE-2018-1214
Важность: Критическая ошибка (в конкретных конфигурациях с ограниченным доступом см. Примечание ниже).
Затронутые продукты: Dell EMC SupportAssist Enterprise 1,1 и модернизация до 1,2 (только для станции управления ОС Windows)
Сводке
Dell EMC SupportAssist Enterprise 1.2.1 содержит исправления недокументированной уязвимости учетной записи по умолчанию, которая может быть использована неправомочными пользователями, которые могут быть использованы неавторизованными пользователями для компрометации уязвимой системы.
Сведения о
SupportAssist Enterprise версии 1,1 создает локальную учетную запись пользователя Windows с именем «Омеадаптерусер» и паролем по умолчанию в рамках процесса установки. Эта ненужная учетная запись пользователя также остается даже после модернизации с v 1.1 до v 1.2. Доступ к консоли управления может осуществляться кем-либо, зная пароль по умолчанию.
Если SupportAssist Enterprise устанавливается на сервере с OpenManage Essentials (OME), учетная запись пользователя Омеадаптерусер добавляется как участник группы Омеадминистраторс для OME. Эта учетная запись может использоваться неуполномоченным лицом, обладающей паролем по умолчанию и доступом к веб-консоли OME, чтобы получить доступ к уязвимой установке OME с правами Омеадминистраторс.
Решать
В следующем выпуске Dell EMC SupportAssist Enterprise имеются разрешения на данные уязвимости.
Приема
Учетную запись пользователя Омеадаптерусер можно удалить вручную. Удаление этой учетной записи пользователя не влияет на функциональность SupportAssist Enterprise или OpenManage Essentials.
Ссылка на средство защиты:
Заказчики могут загружать программное обеспечение с веб-сайта Dell EMC SupportAssist Enterprise версии 1.2.1 Windows управления сервером .
Dell EMC рекомендует всем пользователям определить применимость этой информации к их индивидуальным ситуациям и предпринять соответствующее действие. Информация, приведенная в настоящем документе, предоставляется «как есть» без каких бы то ни было каких-либо гарантий. Dell EMC отказывается от каких-либо явных или подразумеваемых гарантий, включая гарантии пригодности для продажи, пригодности для определенной цели, должности и ненарушения правности. В случае отсутствия каких-либо событий Dell EMC или его поставщиков необходимо обносить ущерб любыми убытками, включая прямой, опосредованный, случайный, опосредованный, убытки от прибыли и особого ущерба, даже если Dell EMC или его поставщиков были разработаны с учетом возможности такого ущерба. В некоторых штатах не разрешается исключение или ограничение ответственности за косвенный или случайный ущерб, поэтому вышеизложенное ограничение не может быть применено.