DSA-2019-051: несколько уязвимостей Dell SupportAssist Client

DSA-2019-051: несколько уязвимостей Dell SupportAssist Client


Идентификатор DSA: DSA-2019-051

Идентификатор CVE: CVE-2019-3718, CVE-2019-3719

Серьезность: Высокая

 

Оценка серьезности. Базовая оценка CVSS: см. ниже оценки NVD

 

Затронутые продукты:

Более ранние версии Dell SupportAssist Client, чем 3.2.0.90.

 

Резюме

Программа Dell SupportAssist Client была обновлена для устранения ряда уязвимостей, которые могут потенциально использоваться для взлома системы.

 

Описание

 

Неверная проверка происхождения (CVE-2019-3718)

 

Более ранние версии Dell SupportAssist Client, чем 3.2.0.90, имеют уязвимость, связанную с неверной проверкой происхождения.    Удаленный злоумышленник, не прошедший аутентификацию, может потенциально использовать эту уязвимость для проведения атак CSRF на пользователей затронутых систем.

Базовая оценка CVSSv3: 7,6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Уязвимость, делающая возможным удаленное выполнение кода (CVE-2019-3719)

 

В более ранних версиях Dell SupportAssist Client, чем 3.2.0.90, имеется уязвимость, которая обеспечивает возможность удаленного выполнения кода. Злоумышленник, не прошедший аутентификацию и имеющий общий уровень доступа к сети с уязвимой системой, может взломать уязвимую систему, обманом вынудив пользователя скачать и выполнить произвольные исполняемые файлы с сайтов злоумышленника через SupportAssist Client.

Базовая оценка CVSSv3: 7,1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

 

Способ устранения

Эти уязвимости устранены в следующем выпуске Dell EMC SupportAssist Client:

 

  • Dell SupportAssist Client 3.2.0.90 и более поздней версии.

 

 

Dell рекомендует всем заказчикам выполнить обновление при первой возможности.

 

 

Ссылка на инструмент устранения

 

Заказчики могут скачать программное обеспечение со страницы https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

 

 

Благодарности

Компания Dell благодарит Джона С. Хеннесси (John C. Hennessy) из компании ReCar за сообщение об уязвимости CVE-2019-3718 и Билла Демиркапи (Bill Demirkapi) за сообщение об уязвимости CVE-2019-3719.

 

 

Dell рекомендует всем пользователям оценить релевантность данной информации к их ситуации и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell отказывается от всех явных и подразумеваемых гарантий, в том числе от гарантий товарной пригодности, пригодности для конкретной цели и ненарушения прав. Ни при каких обстоятельствах компания Dell или ее поставщики не несут ответственности за какие-либо убытки, включая прямые, непрямые, случайные, косвенные убытки, потери предпринимательской прибыли или особые убытки, даже если компания Dell или ее поставщики были предупреждены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.





Код статьи: SLN316857

Дата последнего изменения: 31/07/2019 09:45


Оцените эту статью

Точно
Функционально
Просто понять
Помогла ли вам эта статья?
Да Нет
Отправьте нам свое мнение
Комментарии не должны содержать следующие специальные символы: <>()\
К сожалению, наша система обратной связи в настоящее время не работает. Повторите попытку позже.

Благодарим вас за отзыв.