Číslo článku: 000147397


DSA-2019-051: Dell SupportAssist Client Multiple Vulnerabilities

Shrnutí: Dell SupportAssist Client has been updated to address multiple vulnerabilities which may be potentially exploited to compromise the system.

Obsah článku


Vliv

High

Podrobnosti

Improper Origin Validation (CVE-2019-3718)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain an improper origin validation vulnerability.    An unauthenticated remote attacker could potentially exploit this vulnerability to attempt CSRF attacks on users of the impacted systems.

CVSSv3 Base Score: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Remote Code Execution Vulnerability (CVE-2019-3719)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain a remote code execution vulnerability. An unauthenticated attacker, sharing the network access layer with the vulnerable system, can compromise the vulnerable system by tricking a victim user into downloading and executing arbitrary executables via SupportAssist client from attacker hosted sites.

CVSSv3 Base Score: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Improper Origin Validation (CVE-2019-3718)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain an improper origin validation vulnerability.    An unauthenticated remote attacker could potentially exploit this vulnerability to attempt CSRF attacks on users of the impacted systems.

CVSSv3 Base Score: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Remote Code Execution Vulnerability (CVE-2019-3719)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain a remote code execution vulnerability. An unauthenticated attacker, sharing the network access layer with the vulnerable system, can compromise the vulnerable system by tricking a victim user into downloading and executing arbitrary executables via SupportAssist client from attacker hosted sites.

CVSSv3 Base Score: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Společnost Dell Technologies všem zákazníkům doporučuje vzít v úvahu základní hodnocení CVSS i všechna související hodnocení v daném čase a prostředí, která mohou mít vliv na potenciální závažnost dané konkrétní bezpečnostní hrozby.

Dotčené produkty a náprava

Affected products:

Dell SupportAssist Client versions prior to 3.2.0.90.


Remediation:
The following Dell SupportAssist Client release contains resolutions to these vulnerabilities:

  • Dell SupportAssist Client version 3.2.0.90 and later.

Dell recommends all customers upgrade at the earliest opportunity.

Customers can download software from https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

Affected products:

Dell SupportAssist Client versions prior to 3.2.0.90.


Remediation:
The following Dell SupportAssist Client release contains resolutions to these vulnerabilities:

  • Dell SupportAssist Client version 3.2.0.90 and later.

Dell recommends all customers upgrade at the earliest opportunity.

Customers can download software from https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

Přijetí

Dell would like to thank John C. Hennessy-ReCar for reporting CVE-2019-3718 and Bill Demirkapi for reporting CVE-2019-3719.

 

Související informace

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide


Je třeba informace v tomto bezpečnostním zpravodaji společnosti Dell Technologies přečíst a použít, aby nedošlo k situacím pramenícím ze zde popsaných problémů. Společnost Dell Technologies zasílá bezpečnostní zpravodaje s cílem upozornit uživatele dotčených produktů na důležité informace ohledně zabezpečení. Společnost Dell Technologies hodnotí hrozby na základě průměrného rizika u rozmanité sady nainstalovaných systémů a hodnocení nemusí odpovídat skutečnému riziku ve vaší místní instalaci a v konkrétním prostředí. Všem uživatelům se doporučuje zjistit, jestli jsou pro jejich prostředí tyto informace relevantní, a podniknout příslušné kroky. Informace uvedené v tomto dokumentu se poskytují „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell Technologies výslovně odmítá veškeré záruky, výslovné nebo odvozené, včetně záruky obchodovatelnosti, vhodnosti pro konkrétní účel, nároků a dodržení zákonů. Společnost Dell Technologies, její pobočky ani dodavatelé nenesou žádnou odpovědnost za jakékoli škody, které vzniknou z informací zde obsažených nebo v souvislosti s nimi nebo z činností, které se rozhodnete na základě těchto informací uskutečnit , včetně všech přímých, nepřímých, náhodných a následných škod, ztrát zisku nebo zvláštních škod, a to i v případě, že společnost Dell Technologies, její pobočky nebo dodavatelé byli na možnost takových škod upozorněni. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, proto výše uvedené omezení platí v povoleném zákonném rozsahu.

Vlastnosti článku


Dotčený produkt

SupportAssist for Home PCs, SupportAssist for Business PCs

Datum posledního vydání

21 úno 2021

Verze

4

Typ článku

Dell Security Advisory

Zhodnoťte tento článek


Přesné
Užitečné
Snadno srozumitelné
Byl tento článek užitečný?

0/3000 znaky