Dell EMC SupportAssist Enterprise (server, storage, Networking)-vulnerabilità di un account predefinito non documentato

Identificatore CVE: CVE-2018-1214

Severity: Critical (in configurazioni limitate specifiche, vedere la nota di seguito)

Prodotti interessati: Dell EMC SupportAssist Enterprise 1,1 e eseguire l'aggiornamento a 1,2 (solo versioni di Windows OS Management Station)

Riepilogo

Dell EMC SupportAssist Enterprise 1.2.1 contiene correzioni per una vulnerabilità di un account predefinito non documentato che potrebbe potenzialmente essere sfruttato dagli utenti non autorizzati per compromettere il sistema interessato.

Dettagli

SupportAssist Enterprise versione 1,1 crea un account utente Windows locale denominato "OMEAdapterUser" con una password predefinita nell'ambito del processo di installazione. Questo account utente non necessario rimane anche dopo l'aggiornamento da v 1.1 a v 1.2.  L'accesso alla console di gestione può essere ottenuto da un utente che conosce la password predefinita. 

Se SupportAssist Enterprise è installato in un server in cui è in corso OpenManage Essentials (OME), l'account utente OmeAdapterUser viene aggiunto come membro del gruppo OmeAdministrators per il OME. Una persona non autorizzata che conosce la password predefinita e l'accesso alla console Web OME potrebbe potenzialmente utilizzare questo account per accedere all'installazione interessata di OME con privilegi OmeAdministrators. 

Nota: Il livello di Severity (critico) si basa sulle configurazioni in cui SupportAssist Enterprise è installato in un server in cui è in corso OME, con funzionalità di gestione della configurazione del server basata su costi attivata. Dell EMC consiglia ai clienti di prendere in considerazione eventuali fattori di implementazione che possono essere rilevanti per il proprio ambiente per valutare il rischio generale.

Nota: Questo problema non influisce sulle versioni Linux di SupportAssist Enterprise v 1.1 e sull'aggiornamento alla v 1.2.

Nota: Il problema non ha influito su qualsiasi altra versione di Enterprise o utente finale di SupportAssist.

Risoluzione

La seguente release di Dell EMC SupportAssist Enterprise contiene risoluzioni a queste vulnerabilità:

• Dell EMC SupportAssist Enterprise versione 1.2.1

Dell EMC consiglia a tutti i clienti di eseguire l'aggiornamento a v 1.2.1 immediatamente.

Soluzione

L'account utente di OmeAdapterUser può essere eliminato manualmente. L'eliminazione di questo account utente non influisce sulle funzionalità di SupportAssist Enterprise o OpenManage Essentials.

Link ai rimedi:

I clienti possono scaricare il software dalla pagina Dell EMC SupportAssist Enterprise versione 1.2.1 Windows Management Server .

Dell EMC consiglia a tutti gli utenti di determinare l'applicabilità di tali informazioni alle singole situazioni e di intraprendere le azioni appropriate. Le informazioni di cui al presente documento vengono fornite "così come sono" senza garanzia di alcun tipo. Dell EMC nega tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità, idoneità per uno scopo specifico, titolarità e non violazione. In nessun caso Dell EMC o i suoi fornitori potranno essere ritenuti responsabili di qualsiasi danno, che comprenda, in nessun caso, danni diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali, anche se Dell EMC o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni Stati non consentono l'esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la limitazione di cui sopra potrebbe non essere applicabile.