DSA-2019-051: Vícenásobné chyby zabezpečení klienta Dell SupportAssist

DSA-2019-051: Vícenásobné chyby zabezpečení klienta Dell SupportAssist


Identifikátor DSA: DSA-2019-051

Identifikátor CVE: CVE-2019-3718, CVE-2019-3719

Závažnost: Vysoká

 

Hodnocení závažnosti: Základní skóre CVSS: Viz níže, kde jsou uvedena skóre NVD

 

Dotčené produkty:

Verze klienta Dell SupportAssist před verzí 3.2.0.90

 

Shrnutí:

Klient Dell SupportAssist byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení systémů.

 

Podrobnosti:

 

Nesprávné ověření původu (CVE-2019-3718)

 

Verze klienta Dell SupportAssist před verzí 3.2.0.90 obsahují chybu zabezpečení týkající se nesprávného ověření původu.    Neověřený vzdálený útočník by mohl tuto chybu zabezpečení potenciálně zneužít k pokusu o útoky CSRF na uživatele dotčených systémů.

Základní skóre CVSSv3: 7,6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Chyba zabezpečení vzdáleného spuštění kódu (CVE-2019-3719)

 

Verze klienta Dell SupportAssist před verzí 3.2.0.90 obsahují chybu zabezpečení vzdáleného spuštění kódu. Neověřený útočník, který sdílí vrstvu přístupu k síti se zranitelným systémem, ho může napadnout tím, že cílového uživatele přiměje stáhnout a pomocí klienta SupportAssist spustit libovolné spustitelné soubory z stránek hostovaných útočníkem.

Základní skóre CVSSv3: 7,1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

 

Řešení:

Následující verze klienta Dell EMC SupportAssist obsahuje řešení těchto chyb zabezpečení:

 

  • Klient Dell SupportAssist verze 3.2.0.90 a novější.

 

 

Společnost Dell doporučuje všem uživatelům provést upgrade co nejdříve.

 

 

Odkaz na opravné prostředky:

 

Zákazníci si mohou stáhnout software z webu https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

 

 

Poděkování:

Společnost Dell by ráda poděkovala Johnu C. Hennessy-ReCarovi za nahlášení chyby CVE-2019-3718 a Billu Demirkapiovi za nahlášení chyby CVE-2019-3719.

 

 

Společnost Dell doporučuje všem uživatelům rozhodnout o použitelnosti těchto informací v konkrétní situaci a provést odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.




ID článku: SLN316857

Datum poslední změny: 17.05.2019 10:13


Zhodnoťte tento článek

Přesné
Užitečné
Snadno srozumitelné
Byl tento článek užitečný?
Ano Ne
Zašlete nám svůj názor
Komentáře nesmí obsahovat tyto speciální znaky: <>() \
Je nám líto, ale náš systém zpětné vazby je v současné době mimo provoz. Zkuste to později.

Děkujeme za váš názor.