DSA-2019-051: diversas vulnerabilidades do Dell SupportAssist Client

DSA-2019-051: diversas vulnerabilidades do Dell SupportAssist Client


Identificador DSA: DSA-2019-051

Identificador CVE: CVE-2019-3718, CVE-2019-3719

Gravidade: alta

 

Classificação de gravidade: pontuação de base do CVSS: Veja abaixo as pontuações do NVD

 

Produtos afetados:

Versões do Dell SupportAssist Client anteriores à 3.2.0.90.

 

Resumo:

O Dell SupportAssist Client foi atualizado para abordar diversas vulnerabilidades que podem ser exploradas para comprometer o sistema.

 

Detalhes:

 

Validação de origem imprópria (CVE-2019-3718)

 

As versões do Dell SupportAssist Client anteriores à 3.2.0.90 contêm uma vulnerabilidade de validação de origem imprópria.    Um invasor remoto não autenticado poderia explorar essa vulnerabilidade para tentar ataques de CSRF a usuários dos sistemas afetados.

Pontuação de base do CVSSv3: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Vulnerabilidade de execução remota de código (CVE-2019-3719)

 

As versões do Dell SupportAssist Client anteriores à 3.2.0.90 contêm uma vulnerabilidade de execução remota de código. Um invasor não autenticado, compartilhando a camada de acesso à rede com o sistema vulnerável, pode comprometer o sistema vulnerável ao induzir um usuário a fazer download de arquivos executáveis arbitrários e executá-los por meio do SupportAssist Client a partir de locais hospedados do invasor.

Pontuação de base do CVSSv3: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

 

Resolução:

A seguinte versão do Dell SupportAssist Client contém resoluções para essas vulnerabilidades:

 

  • Dell SupportAssist Client versão 3.2.0.90 e posteriores.

 

 

A Dell recomenda que todos os clientes façam upgrade o mais rápido possível.

 

 

Link para as soluções:

 

Os clientes podem fazer o download do software em https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

 

 

Crédito:

A Dell agradece a John C. Hennessy-ReCar por relatar o CVE-2019-3718 e a Bill Demirkapi por relatar o CVE-2019-3719.

 

 

A Dell recomenda que todos os usuários determinem a aplicabilidade das informações às suas situações individuais e tomem as medidas adequadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.




ID do artigo: SLN316857

Data da última modificação: 17/05/2019 10:13


Classifique este artigo

Preciso
Úteis
Fácil de entender
Este artigo foi útil?
Sim Não
Envie seus comentários
Os comentários não podem conter estes caracteres especiais: <>()\
Infelizmente, o nosso sistema de feedback está atualmente desativado. Tente novamente mais tarde.

Agradecemos o feedback.