Dell EMC SupportAssist Enterprise (Server, lagring, nätverk)-ej dokumenterat standard konto problem

CVE-ID: CVE-2018-1214

Allvarlighets grad: Kritisk (i specifika begränsade konfigurationer, se anmärkning nedan)

Produkter som påverkas: Dell EMC SupportAssist Enterprise 1,1 och uppgradera till 1,2 (endast Windows OS Management Station-versioner)

Sammanfatta

Dell EMC SupportAssist Enterprise 1.2.1 innehåller korrigeringar för ett icke dokumenterat standard konto säkerhets problem som kan utnyttjas av obehöriga användare för att skada den berörda datorn.

Mer

SupportAssist Enterprise version 1,1 skapar ett lokalt Windows-användarkonto med namnet "OMEAdapterUser" med ett standard lösen ord som en del av installations processen. Det här överflödiga användar kontot kvarstår även efter uppgraderingen från v 1.1 till v 1.2.  Åtkomst till hanterings konsolen kan uppnås av någon med kännedom om standard lösen ordet. 

Om SupportAssist Enterprise är installerat på en server som kör OpenManage Essentials (OME) läggs OmeAdapterUser-användarkontot till som medlem i OmeAdministrators-gruppen för OME. En obehörig person med kännedom om standard lösen ordet och åtkomst till OME-webbkonsolen kan eventuellt använda det här kontot för att få åtkomst till den berörda installationen av OME med OmeAdministrators-privilegier. 

Anmärkning: Allvarlighets nivån (kritisk) baseras på konfigurationer där SupportAssist Enterprise är installerat på en server som kör OME med avgiftsbelagd-baserad server konfigurations hantering aktive rad. Dell EMC rekommenderar att kunder tar hänsyn till eventuella drift sättnings faktorer som kan vara relevanta för deras miljö för att bedöma deras övergripande risk.

Anmärkning: Linux versioner av SupportAssist Enterprise v 1.1 och uppgradering till v 1.2 påverkas inte av problemet.

Anmärkning: Problemet har inte drabbats av någon annan Enterprise-eller slutanvändares version av SupportAssist.

Åtgärder

I följande Dell EMC SupportAssist Enterprise-versionen finns lösningar på dessa problem:

• Dell EMC SupportAssist Enterprise version 1.2.1

Dell EMC rekommenderar alla kunder att uppgradera till v 1.2.1 omedelbart.

Sätt

OmeAdapterUser-användarkontot kan tas bort manuellt. Borttagning av detta användar konto påverkar inte funktionerna hos SupportAssist Enterprise eller OpenManage Essentials.

Länk till lösningar:

Kunder kan hämta program vara från Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server -sidan.

Dell EMC rekommenderar att alla användare fastställer tillämpligheten av den här informationen i enskilda situationer och vidtar lämplig åtgärd. Informationen som anges häri tillhandahålls "i befintligt skick" utan någon typ av garanti. Dell EMC frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier gällande säljbar het, lämplighet för ett visst ändamål, titel och icke-intrång. Under inga omständigheter ska Dell EMC eller dess leverantörer, vara ansvariga för eventuella skador som är av intresse, inklusive direkt, indirekt, tillfällig, följd, förlust av affärs vinster eller speciella skador, även om Dell EMC eller dess leverantörer har under rätt ATS om möjligheten till sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följd skador eller tillfälliga skadestånd, så ovannämnda begränsning kanske inte gäller.