Versão impressa em inglês: DSA-2019-065 Vulnerabilidade de caminho de pesquisa não controlado da estrutura do Dell Update Package (DUP)

Zusammenfassung: Consulte as informações sobre o DSA-2019-065 e o CVE-2019-3726, também conhecidos como Vulnerabilidade de caminho de pesquisa não controlada do Dell Update Package (DUP) Framework.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Auswirkungen

Medium

Details

A estrutura do Dell Update Package (DUP) foi atualizada para tratar uma vulnerabilidade que pode ser potencialmente explorada para comprometer o sistema.

 

Um (DUP) é um executável independente em formato de pacote padrão que atualiza um único elemento de software/firmware no sistema.  Um DUP consiste em duas partes:

  1. Uma estrutura que fornece uma interface consistente para aplicação de payloads
  2. O payload que é o firmware/o BIOS/os drivers

 

Para obter mais detalhes sobre DUPs, consulte DELL EMC Update Package (DUP) .

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies empfiehlt allen Kunden, sowohl die CVSS-Gesamtbewertung als auch alle relevanten zeitlichen und umweltbezogenen Bewertungen zu berücksichtigen, die sich auf den potenziellen Schweregrad einer bestimmten Sicherheitsschwachstelle auswirken können.

Betroffene Produkte und Korrektur

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Danksagung

A Dell gostaria de agradecer a Pierre-Alexandre Braeken, Silas Cutler e Eran Shimony por relatarem esse problema.

Zugehörige Informationen

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Rechtlicher Hinweis

Betroffene Produkte

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Artikeleigenschaften
Artikelnummer: 000137022
Artikeltyp: Dell Security Advisory
Zuletzt geändert: 18 Aug. 2025
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.