DSA-2019-065: Уязвимость неконтролируемого пути поиска в инфраструктуре пакета Dell Update Package (DUP)
Zusammenfassung: См. информацию об уязвимости DSA-2019-065 и CVE-2019-3726, также известной как уязвимость Dell Update Package (DUP), делающая неконтролируемый путь поиска.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Auswirkungen
Medium
Details
Структура пакета обновлений Dell Update Package (DUP) была обновлена для устранения уязвимости, которая может быть использована для взлома системы.
A (DUP) — это автономный исполняемый файл в стандартном формате пакета, который обновляет один элемент программного обеспечения или микропрограммы в системе. Пакет DUP состоит из двух частей:
- структуру, обеспечивающую последовательный интерфейс для установки полезных нагрузок;
- полезную нагрузку (микропрограмма, BIOS, драйверы).
Дополнительные сведения о пакетах DUP см. в разделе Пакет обновлений DELL EMC (DUP).
Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)
Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:
- В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
- Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell.
Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные
полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)
Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:
- В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
- Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell.
Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные
полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Betroffene Produkte und Korrektur
Затронутые продукты:
- Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
- Для серверов Dell EMC:
- Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
- Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413
Remediation.
Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:
- Клиентские платформы Dell: Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
- Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
- Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы: Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней
Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.
Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.
Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.
Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).
Затронутые продукты:
- Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
- Для серверов Dell EMC:
- Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
- Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413
Remediation.
Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:
- Клиентские платформы Dell: Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
- Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
- Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы: Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней
Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.
Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.
Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.
Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).
Danksagung
Компания Dell благодарит Пьера-Александра Брекена (Pierre-Alexandre Braeken), Сайласа Катлера (Silas Cutler) и Эрана Шимони (Eran Шимony) за сообщение об этой проблеме.
Zugehörige Informationen
Rechtlicher Hinweis
Betroffene Produkte
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArtikeleigenschaften
Artikelnummer: 000137022
Artikeltyp: Dell Security Advisory
Zuletzt geändert: 18 Aug. 2025
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.