CVE ID: CVE-2018-1214
Alvors grad: Kritisk (i spesifikke begrensede konfigureringer, se merknader nedenfor)
Berørte produkter: Dell EMC SupportAssist Enterprise 1,1 og oppgradere til 1,2 (kun Windows OS Management Station versions)
Sammendrag
Dell EMC SupportAssist Enterprise 1.2.1 inneholder reparasjoner for et ikke-dokuments sikkerhets problem som potensielt kan utnyttes av uautoriserte brukere for å skade det berørte systemet.
Mer
SupportAssist Enterprise versjon 1,1 oppretter en lokal Windows-brukerkonto med navnet "OMEAdapterUser" med standard passord som en del av installasjons prosessen. Denne unødvendig bruker kontoen er også igjen selv etter at du har oppgradert fra v 1.1 til v 1.2. Tilgang til administrasjons konsollen kan oppnås av noen med kjennskap til standard passordet.
Hvis SupportAssist Enterprise er installert på en server som kjører OpenManage Essentials (OME), legges bruker kontoen for OmeAdapterUser til som et medlem av OmeAdministrators-gruppen for OME. En uautorisert person med kunnskap om standard passord og tilgang til OME nett konsoll kan potensielt bruke denne kontoen for å få tilgang til den berørte installasjonen av OME med OmeAdministrators-rettigheter.
Versjonen
Følgende Dell EMC SupportAssist Enterprise Release inneholder løsninger på disse sikkerhets problemene:
Løsninger
OmeAdapterUser bruker kontoen kan slettes manuelt. Sletting av denne bruker kontoen har ikke innvirkning på funksjonaliteten til SupportAssist Enterprise eller OpenManage Essentials.
Kobling til retts midlene:
Kunder kan laste ned program vare fra Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server- siden.
Dell EMC anbefaler at alle brukere bestemmer tilgjengeligheten av denne informasjonen til sine egne situasjoner og utfører passende tiltak. Informasjonen som er beskrevet i dette dokumentet leveres "som den er" uten garanti av noe slag. Dell EMC fraskriver seg alle garantier, enten uttrykkelig eller underforstått, inkludert garantier om salgbarhet, egnethet for et bestemt formål, tittel og ikke-krenkelse. Dell EMC eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for eventuelle skader som leveres inkludert direkte, indirekte, tilfeldige, konsekvens, tap av forretnings fortjeneste eller spesielle skader, selv om Dell EMC eller dets leverandører er blitt informert om muligheten for slike erstatning. Noen jurisdiksjoner tillater ikke fraskrivelse eller begrensning av ansvar for følges Kader eller tilfeldige skader, så det er mulig at ovennevnte begrensning ikke gjelder.