Dell EMC SupportAssist Enterprise (palvelin-, tallennus-ja verkko palvelut)-dokumentoimattomia oletus tilin haavoittuvuus

CVE-tunnus: CVE-2018-1214

Vakavuus: Kriittinen (tietyissä rajoite tuilla kokoonpanoilla, Katso alla oleva huomautus)

Tuotteet, joita haavoittuvuus koskee: Dell EMC SupportAssist Enterprise 1,1 ja päivitys 1,2 (vain Windows OS Management Station-versiot)

Yhteenveto

Dell EMC SupportAssist Enterprise 1.2.1 sisältää dokumentoimattomia oletus tili-haavoittuvuuden korjauksia, joita luvattomat käyttäjät voivat mahdollisesti käyttää hyväkseen vaarantamaan haavoittuvuuden sisältävän järjestelmän.

Tiedot

SupportAssist Enterprise-versio 1,1 Luo paikallisen Windows-käyttäjä tilin nimeltä "OMEAdapterUser", jonka oletus salasana on osa asennus prosessia. Tämä tarpeeton käyttäjä tili säilyy senkin jälkeen, kun päivitys on v 1.1 – v 1.2.  Hallinta konsolin käyttö oikeus voidaan saavuttaa, jos joku tuntee oletus salasanan. 

Jos SupportAssist Enterprise on asennettu OpenManage Essentials (OME)-palvelimeen, OmeAdapterUser-käyttäjä tili lisätään OME OmeAdministrators-ryhmän jäseneksi. Luvaton henkilö, joka tuntee oletusarvoisen Sala sanan ja pääsyn OME Web-konsoliin, voi mahdollisesti käyttää tätä tiliä, kun hänellä on käyttö oikeus OME, jolla on järjestelmänvalvojan oikeudet. 

Huom. (Kriittinen) vakavuus taso perustuu kokoonpanoille, joissa SupportAssist Enterprise on asennettu OME palvelimeen, jossa on maksupohjainen palvelin kokoonpanon hallinta ominaisuus käytössä. Dell EMC suosittelee, että asiakkaat voivat ottaa huomioon kaikki ympäristöön liittyvät käyttöönotto kertoimet arvioidakseen kokonaisriskiään.

Huom. Tämä ongelma ei koske SupportAssist Enterprise v 1.1:n Linux versioita ja versioon 1.2.

Huom. Ongelma ei vaikuttanut minkään muun yritys-tai loppu käyttäjän version kanssa SupportAssist.

Tarkkuus

Seuraavat Dell EMC SupportAssist Enterprise release sisältää ratkaisuja näihin haavoittuvuuksiin:

• Dell EMC SupportAssist Enterprise-versio 1.2.1

Dell EMC suosittelee, että kaikki asiakkaat päivittävät versioon 1.2.1 välittömästi.

Workaround

OmeAdapterUser-käyttäjä tili voidaan poistaa manuaalisesti. Tämän käyttäjä tilin poistaminen ei vaikuta SupportAssist Enterprise-tai OpenManage Essentials-toiminnon toimintaan.

Linkki korjaus toimiin:

Asiakkaat voivat ladata ohjelmia Dell EMC SupportAssist Enterprise version 1.2.1 Windows Management Server -sivulta.

Dell EMC suosittelee, että kaikki käyttäjät määrittävät näiden tietojen sovellettavuuden omiin tilanteisiin ja ryhtyvät asianmukaisiin toimenpiteisiin. Tässä esitetyt tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Dell EMC kieltää kaikki suorat ja epäsuorat takuut, mukaan lukien TAKUUT MYYTÄVYYDESTÄ, sopivuudesta tiettyyn tarkoitukseen, omistus oikeus ja oikeuksien loukkaamattomuudesta. Missään tapa uksessa ei Dell EMC tai sen tavaran toimittajia ole vastuussa mistään vahingoista, mukaan lukien suora, epäsuora, vahingollinen, välillinen, liike voiton menetys tai erityisvahingot, vaikka Dell EMC tai sen toimittajille olisi ilmoitettu tällaisen vahingoista. Jotkin osavaltiot eivät salli välillisten tai satunnaisten vahinkojen vahingon korvaus vastuun poissulkemista tai rajoittamista, joten edellä mainittua rajoitusta ei välttämättä sovelleta.