DSA-2019-065: Luka w zabezpieczeniach pakietu Dell Update Package (DUP) Framework dotycząca niekontrolowanej ścieżki wyszukiwania
Zusammenfassung: Należy zapoznać się z informacjami na temat luki w zabezpieczeniach DSA-2019-065 i CVE-2019-3726, znanej również jako luka w zabezpieczeniach pakietu Dell Update Package (DUP) Uncontrolled Search Path. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Auswirkungen
Medium
Details
Struktura pakietu Dell Update Package (DUP) została zaktualizowana w celu wyeliminowania luki, która może zostać wykorzystana w celu naruszenia integralności systemu.
Plik DUP (DUP) jest niezależnym plikiem wykonywalnym w standardowym formacie pakietu, który aktualizuje pojedynczy element oprogramowania/oprogramowania wewnętrznego w systemie. Pakiet DUP składa się z dwóch części:
- Struktury zapewniającej jednolity interfejs do stosowania obciążeń
- Obciążenie – oprogramowanie sprzętowe / BIOS / sterowniki
Aby uzyskać więcej informacji na temat pakietów DUP, zobacz Pakiet DELL EMC Update (DUP).
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Betroffene Produkte und Korrektur
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Danksagung
Firma Dell pragnie podziękować Pierre'owi-Alexandre'owi Braekenowi, Silasowi Cutlerowi i Eranowi Shimony'emu za zgłoszenie tego problemu.
Zugehörige Informationen
Rechtlicher Hinweis
Betroffene Produkte
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArtikeleigenschaften
Artikelnummer: 000137022
Artikeltyp: Dell Security Advisory
Zuletzt geändert: 18 Aug. 2025
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.