Identyfikator CVE: CVE-2018-1214
Wskaźnik ważności: Krytyczny (w pewnych określonych konfiguracjach należy zapoznać się z tematem Uwaga poniżej).
Zagrożone produkty: Dell EMC SupportAssist Enterprise 1,1 i uaktualnienie do 1,2 (tylko w przypadku systemów operacyjnych Windows system Management Station)
Podsumowując
Dell EMC SupportAssist Enterprise 1.2.1 zawiera poprawki dotyczące nieudokumentowanej usterki domyślnej usterki, która potencjalnie może zostać wykorzystana przez nieautoryzowanych użytkowników w celu naruszenia zabezpieczeń w systemie podlegającym usterce.
Dokładne
SupportAssist Enterprise w wersji 1,1 tworzy lokalne konto użytkownika systemu Windows o nazwie "OMEAdapterUser" z domyślnym hasłem w ramach procedury instalacji. To niepotrzebne konto użytkownika pozostaje również nawet po uaktualnieniu ze wersji od v do v 1.2. Dostęp do konsoli zarządzania można uzyskać przez osobę ze znajomością hasła domyślnego.
Jeśli na serwerze z systemem OpenManage Essentials (OME) jest zainstalowana SupportAssist Enterprise, konto użytkownika OmeAdapterUser zostanie dodane jako członek grupy OmeAdministrators dla OME. Osoba nieupoważniona, posiadająca wiedzę o domyślnym haśle i dostępie do OME Web Console może potencjalnie użyć tego konta, aby uzyskać dostęp do instalacji OME z uprawnieniami OmeAdministrators.
Potrzeb
Następująca Dell EMC SupportAssist Enterprise wydana zawiera rozwiązania tych usterek:
Obejście
Konto użytkownika OmeAdapterUser można usunąć ręcznie. Usunięcie tego konta użytkownika nie wpływa na działanie programu SupportAssist Enterprise ani OpenManage Essentials.
Łącze do środków zaradczych:
Klienci mogą pobrać oprogramowanie z Dell EMC SupportAssist Enterprise 1.2.1 Windows Management Server .
Dell EMC zaleca, aby wszyscy użytkownicy decydują o możliwości zastosowania tych informacji w poszczególnych sytuacjach, a następnie podejmują odpowiednie działania. Informacje wymienione w niniejszym dokumencie są dostarczane "w stanie takim, w jakim są", bez gwarancji żadnego rodzaju. Dell EMC wszelkie gwarancje, wyraźnie lub domniemane, w tym gwarancje dotyczące przydatności handlowej, przydatności do określonego celu, tytułu i nieprzestrzegania przepisów. W żadnym przypadku nie będzie Dell EMC ani jej dostawcy ponosi odpowiedzialność za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków lub szkody specjalne, nawet jeśli Dell EMC lub jej dostawcy zostali powiadomieni o możliwości takiego zdąży. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za wtórne lub przypadkowe szkody, więc powyższe ograniczenie nie może obowiązywać.