DSA-2019-065: Luka w zabezpieczeniach pakietu Dell Update Package (DUP) Framework dotycząca niekontrolowanej ścieżki wyszukiwania
Summary: Należy zapoznać się z informacjami na temat luki w zabezpieczeniach DSA-2019-065 i CVE-2019-3726, znanej również jako luka w zabezpieczeniach pakietu Dell Update Package (DUP) Uncontrolled Search Path. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Impact
Medium
Details
Struktura pakietu Dell Update Package (DUP) została zaktualizowana w celu wyeliminowania luki, która może zostać wykorzystana w celu naruszenia integralności systemu.
Plik DUP (DUP) jest niezależnym plikiem wykonywalnym w standardowym formacie pakietu, który aktualizuje pojedynczy element oprogramowania/oprogramowania wewnętrznego w systemie. Pakiet DUP składa się z dwóch części:
- Struktury zapewniającej jednolity interfejs do stosowania obciążeń
- Obciążenie – oprogramowanie sprzętowe / BIOS / sterowniki
Aby uzyskać więcej informacji na temat pakietów DUP, zobacz Pakiet DELL EMC Update (DUP).
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Affected Products & Remediation
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Acknowledgements
Firma Dell pragnie podziękować Pierre'owi-Alexandre'owi Braekenowi, Silasowi Cutlerowi i Eranowi Shimony'emu za zgłoszenie tego problemu.
Related Information
Legal Disclaimer
Affected Products
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArticle Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.