DSA-2019-051: Dell SupportAssist Clientの複数の脆弱性

DSA-2019-051: Dell SupportAssist Clientの複数の脆弱性


DSA ID:DSA-2019-051

CVE ID:CVE-2019-3718、CVE-2019-3719

重要度:高

 

重要度評価:CVSSの基本スコア:NVDスコアについては、以下を参照してください

 

対象製品:

3.2.0.90より前のDell SupportAssist Clientのバージョン

 

概要:

Dell SupportAssist Clientは、システムを侵害する目的で悪用される可能性がある複数の脆弱性に対処するためにアップデートされました。

 

詳細:

 

不適切な生成元の検証(CVE-2019-3718)

 

3.2.0.90より前のDell SupportAssist Clientバージョンには、不適切な生成元の検証の脆弱性が含まれています。    認証されていないリモートの攻撃者は、この脆弱性を悪用して、影響を受けるシステムのユーザーに対してCSRF攻撃を試みる可能性があります。

CVSSv3基本スコア:7.6(AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

リモート コードの実行の脆弱性(CVE-2019-3719)

 

3.2.0.90より前のDell SupportAssist Clientのバージョンには、リモート コードの実行の脆弱性が含まれています。ネットワーク アクセス レイヤーを脆弱なシステムと共有する未認証の攻撃者は、攻撃者がホストするサイトからSupportAssist Clientを介して、標的のユーザーをだまして任意の実行ファイルをダウンロードおよび実行することによって、脆弱性のあるシステムを侵害する可能性があります。

CVSSv3基本スコア:7.1(AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

 

解決策:

次のDell SupportAssist Clientリリースには、これらの脆弱性に対する解決策が含まれています。

 

  • Dell SupportAssist Clientバージョン3.2.0.90以降

 

 

デルでは、すべてのお客様に対して、できる限り早くアップグレードすることを推奨しています。

 

 

修正プログラムへのリンク:

 

お客様は、https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exeからソフトウェアをダウンロードできます。

 

 

クレジット:

CVE-2019-3718を報告してくれたJohn C. Hennessy-ReCarとCVE-2019-3719を報告してくれたBill Demirkapiに感謝します。

 

 

デルは、すべてのユーザーが個々の状況に対してこの情報が当てはまるかどうかを判断し、適切な措置を講じることを推奨しています。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。デルは、市販性、特定目的への適合性、権原、および非侵害の保証を含む、明示的か黙示的かを問わず、すべての保証を放棄します。デルとそのサプライヤーは、当該損害の可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。




記事ID: SLN316857

最終更新日: 2019/05/17 10:12


この記事を評価する

正確
有益
分かりやすい
この記事は役に立ちましたか?
はい いいえ
フィードバックをお寄せください
コメントでは、以下の特殊文字は利用できません: <>()\
申し訳ありませんが、フィードバックのシステムは現在ご利用いただけません。後でもう一度試してください。

フィードバックをありがとうございます。