DSA-2019-051: Dell SupportAssist Client – mehrere Schwachstellen

DSA-2019-051: Dell SupportAssist Client – mehrere Schwachstellen


DSA-Kennzeichnung: DSA-2019-051

CVE-Kennzeichnung CVE-2019-3718, CVE-2019-3719

Schweregrad: Hoch

 

Schweregrad: CVSS-basiertes Ergebnis: Unten finden Sie die NVD-Ergebnisse.

 

Betroffene Produkte:

Dell SupportAssist Client-Versionen vor 3.2.0.90.

 

Zusammenfassung:

Der Dell SupportAssist Client wurde aktualisiert, um mehrere Schwachstellen zu beheben, die möglicherweise ausgenutzt werden, um das System zu gefährden.

 

Details:

 

Unzulässige Ursprungsvalidierung (CVE-2019-3718)

 

Dell SupportAssist Client-Versionen vor 3.2.0.90 enthalten eine unzulässige Sicherheitslücke bei der Ursprungsüberprüfung.    Ein nicht authentifizierter Remote-Angreifer könnte diese Sicherheitslücke potenziell ausnutzen, um CSRF-Angriffe auf die Benutzer der betroffenen Systeme zu starten.

CVSSv3-Basisbewertung: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Sicherheitslücke bei Remote-Codeausführung (CVE-2019-3719)

 

Dell SupportAssist Client-Versionen vor 3.2.0.90 enthalten eine Sicherheitslücke bei der Remote-Codeausführung. Ein nicht authentifizierter Angreifer, der die Netzwerkzugriffsebene mit dem anfälligen System teilt, kann das anfällige System gefährden, indem er den betroffenen Benutzer dazu verleitet, willkürliche ausführbare Dateien über den SupportAssist-Client von Angreifer gehosteten Sites herunterzuladen und auszuführen.

CVSSv3 Basisbewertung: 7,1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

 

Lösung:

Die folgende Dell SupportAssist Client Version enthält Lösungen für diese Sicherheitsrisiken:

 

  • Dell SupportAssist Client Version 3.2.0.90 und höher.

 

 

Dell empfiehlt allen Kunden, bei der nächsten Gelegenheit ein Upgrade durchzuführen.

 

 

Link zu den empfohlenen Maßnahmen:

 

Kunden können Software von https://Downloads.Dell.com/Serviceability/Catalog/SupportAssistInstaller.exeherunterladen.

 

 

Danksagung:

Dell möchte John C. Hennessy-ReCar für das Melden von CVE-2019-3718 und Bill Demirkapi für das Melden von CVE-2019-3719 danken.

 

 

Dell empfiehlt allen Benutzern, die Anwendbarkeit dieser Informationen in der individuellen Situation zu überprüfen und entsprechende Maßnahmen zu ergreifen. Die hier festgelegte Information werden „wie besehen“ bereit gestellt, ohne jegliche Gewährleistung. Dell übernimmt keinerlei Gewährleistungen, ob in ausdrücklicher oder implizierter Form, einschließlich Gewährleistungen der Handelsüblichkeit, der Eignung für einen bestimmten Zweck, des Rechtsanspruches und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.




Artikel-ID: SLN316857

Datum der letzten Änderung: 17.05.2019 10:12


Diesen Artikel bewerten

Präzise
Nützlich
Leicht verständlich
War dieser Artikel hilfreich?
Ja Nein
Schicken Sie uns Ihr Feedback.
Die folgenden Sonderzeichen dürfen in Kommentaren nicht verwendet werden: <>()\
Derzeit ist kein Zugriff auf das Feedbacksystem möglich. Bitte versuchen Sie es später erneut.

Vielen Dank für Ihr Feedback.