Identificatore CVE: CVE-2018-1214
Severity: Critical (in configurazioni limitate specifiche, vedere la nota di seguito)
Prodotti interessati: Dell EMC SupportAssist Enterprise 1,1 e eseguire l'aggiornamento a 1,2 (solo versioni di Windows OS Management Station)
Riepilogo
Dell EMC SupportAssist Enterprise 1.2.1 contiene correzioni per una vulnerabilità di un account predefinito non documentato che potrebbe potenzialmente essere sfruttato dagli utenti non autorizzati per compromettere il sistema interessato.
Dettagli
SupportAssist Enterprise versione 1,1 crea un account utente Windows locale denominato "OMEAdapterUser" con una password predefinita nell'ambito del processo di installazione. Questo account utente non necessario rimane anche dopo l'aggiornamento da v 1.1 a v 1.2. L'accesso alla console di gestione può essere ottenuto da un utente che conosce la password predefinita.
Se SupportAssist Enterprise è installato in un server in cui è in corso OpenManage Essentials (OME), l'account utente OmeAdapterUser viene aggiunto come membro del gruppo OmeAdministrators per il OME. Una persona non autorizzata che conosce la password predefinita e l'accesso alla console Web OME potrebbe potenzialmente utilizzare questo account per accedere all'installazione interessata di OME con privilegi OmeAdministrators.
Risoluzione
La seguente release di Dell EMC SupportAssist Enterprise contiene risoluzioni a queste vulnerabilità:
Soluzione
L'account utente di OmeAdapterUser può essere eliminato manualmente. L'eliminazione di questo account utente non influisce sulle funzionalità di SupportAssist Enterprise o OpenManage Essentials.
Link ai rimedi:
I clienti possono scaricare il software dalla pagina Dell EMC SupportAssist Enterprise versione 1.2.1 Windows Management Server .
Dell EMC consiglia a tutti gli utenti di determinare l'applicabilità di tali informazioni alle singole situazioni e di intraprendere le azioni appropriate. Le informazioni di cui al presente documento vengono fornite "così come sono" senza garanzia di alcun tipo. Dell EMC nega tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità, idoneità per uno scopo specifico, titolarità e non violazione. In nessun caso Dell EMC o i suoi fornitori potranno essere ritenuti responsabili di qualsiasi danno, che comprenda, in nessun caso, danni diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali, anche se Dell EMC o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni Stati non consentono l'esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la limitazione di cui sopra potrebbe non essere applicabile.