DSA-2019-065 : Faille de sécurité de chemin de recherche non contrôlé dans le cadre Dell Update Package (DUP)
Summary: Reportez-vous aux informations relatives aux vulnérabilités DSA-2019-065 et CVE-2019-3726, également connues sous le nom de faille de sécurité de chemin de recherche non contrôlé du cadre Dell Update Package (DUP). ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Impact
Medium
Details
Le cadre DUP (Dell Update Package) a été mis à jour pour résoudre une faille de sécurité qui peut être exploitée pour compromettre le système.
Un (DUP) est un fichier exécutable autonome au format de package standard qui met à jour un seul élément logiciel/micrologiciel du système. Un DUP se compose de deux parties :
- Un cadre fournissant une interface cohérente pour l’application des charges utiles
- La charge utile, soit le firmware/BIOS/pilote
Pour plus d’informations sur les DUP, reportez-vous à la section Package de mise à jour Dell EMC (DUP).
Faille de sécurité liée à un chemin de recherche non contrôlé (CVE-2019-3726)
Une vulnérabilité de chemin de recherche non contrôlé s’applique aux éléments suivants :
- Versions de fichier Dell Update Package (DUP) Framework antérieures à la version 19.1.0.413 et versions de fichier Framework antérieures à la version 103.4.6.69 utilisées dans les serveurs Dell EMC.
- Les versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 3.8.3.67 sont utilisées dans les plates-formes clientes Dell.
La vulnérabilité est limitée au cadre DUP pendant la période pendant laquelle un DUP est exécuté par un administrateur. Au cours de cette période, un utilisateur malveillant à faible privilège authentifié localement pourrait exploiter cette vulnérabilité en incitant un administrateur à exécuter un fichier binaire de confiance, à charger une DLL malveillante et à permettre à l’attaquant d’exécuter du code arbitraire sur le système victime. Cette faille de sécurité n’affecte pas la charge utile binaire réelle fournie par le DUP.
Score de base CVSSv3 : 6.7 (AV :L/AC :H/PR :L/UI :R/S :U/C :H/I :H/A :H)
Faille de sécurité liée à un chemin de recherche non contrôlé (CVE-2019-3726)
Une vulnérabilité de chemin de recherche non contrôlé s’applique aux éléments suivants :
- Versions de fichier Dell Update Package (DUP) Framework antérieures à la version 19.1.0.413 et versions de fichier Framework antérieures à la version 103.4.6.69 utilisées dans les serveurs Dell EMC.
- Les versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 3.8.3.67 sont utilisées dans les plates-formes clientes Dell.
La vulnérabilité est limitée au cadre DUP pendant la période pendant laquelle un DUP est exécuté par un administrateur. Au cours de cette période, un utilisateur malveillant à faible privilège authentifié localement pourrait exploiter cette vulnérabilité en incitant un administrateur à exécuter un fichier binaire de confiance, à charger une DLL malveillante et à permettre à l’attaquant d’exécuter du code arbitraire sur le système victime. Cette faille de sécurité n’affecte pas la charge utile binaire réelle fournie par le DUP.
Score de base CVSSv3 : 6.7 (AV :L/AC :H/PR :L/UI :R/S :U/C :H/I :H/A :H)
Affected Products & Remediation
Produits concernés :
- Pour les plates-formes clientes Dell : Versions de fichier du cadre Dell Update Packages (DUP) antérieures à la version 3.8.3.67.
- Pour les serveurs Dell EMC :
- Pilotes réseau et Fibre Channel : Versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 103.4.6.69
- Tous les autres pilotes, BIOS et firmware : Versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 19.1.0.413
Mesure corrective :
Les cadres Dell Update Package (DUP) suivants contiennent une correction de la faille de sécurité :
- Plates-formes clientes Dell : Fichier du cadre Dell Update Package (DUP) version 3.8.3.67 ou ultérieure
- Pilotes de serveurs Dell EMC Networking et Fibre Channel : Fichier du cadre Dell Update Package (DUP) version 103.4.6.69 ou ultérieure
- Serveurs Dell EMC : tous les autres pilotes, BIOS et firmwares : Fichier du cadre Dell Update Package (DUP) version 19.1.0.413 ou ultérieure
Pour vérifier la version du fichier DUP Framework, cliquez avec le bouton droit de la souris sur le fichier DUP, sélectionnez Propriétés, puis cliquez sur l’onglet Détails pour trouver le numéro de version du fichier.
Les clients doivent utiliser la dernière version du DUP disponible auprès du support Dell lors de la mise à jour de leurs systèmes. Les clients n’ont pas besoin de télécharger et de réexécuter les DUP si le système exécute déjà la dernière version du BIOS, du firmware ou du contenu du pilote.
Dell recommande également d’exécuter les packages logiciels DUP à partir d’un emplacement protégé, nécessitant des privilèges d’administrateur pour y accéder.
Dell recommande aux clients de suivre les pratiques d’excellence en matière de sécurité pour se protéger contre les logiciels malveillants. Les clients doivent utiliser un logiciel de sécurité pour se protéger contre les logiciels malveillants (antivirus ou advanced threat prevention).
Produits concernés :
- Pour les plates-formes clientes Dell : Versions de fichier du cadre Dell Update Packages (DUP) antérieures à la version 3.8.3.67.
- Pour les serveurs Dell EMC :
- Pilotes réseau et Fibre Channel : Versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 103.4.6.69
- Tous les autres pilotes, BIOS et firmware : Versions de fichier du cadre Dell Update Package (DUP) antérieures à la version 19.1.0.413
Mesure corrective :
Les cadres Dell Update Package (DUP) suivants contiennent une correction de la faille de sécurité :
- Plates-formes clientes Dell : Fichier du cadre Dell Update Package (DUP) version 3.8.3.67 ou ultérieure
- Pilotes de serveurs Dell EMC Networking et Fibre Channel : Fichier du cadre Dell Update Package (DUP) version 103.4.6.69 ou ultérieure
- Serveurs Dell EMC : tous les autres pilotes, BIOS et firmwares : Fichier du cadre Dell Update Package (DUP) version 19.1.0.413 ou ultérieure
Pour vérifier la version du fichier DUP Framework, cliquez avec le bouton droit de la souris sur le fichier DUP, sélectionnez Propriétés, puis cliquez sur l’onglet Détails pour trouver le numéro de version du fichier.
Les clients doivent utiliser la dernière version du DUP disponible auprès du support Dell lors de la mise à jour de leurs systèmes. Les clients n’ont pas besoin de télécharger et de réexécuter les DUP si le système exécute déjà la dernière version du BIOS, du firmware ou du contenu du pilote.
Dell recommande également d’exécuter les packages logiciels DUP à partir d’un emplacement protégé, nécessitant des privilèges d’administrateur pour y accéder.
Dell recommande aux clients de suivre les pratiques d’excellence en matière de sécurité pour se protéger contre les logiciels malveillants. Les clients doivent utiliser un logiciel de sécurité pour se protéger contre les logiciels malveillants (antivirus ou advanced threat prevention).
Acknowledgements
Dell remercie Pierre-Alexandre Braeken, Silas Cutler et Eran Shimony d’avoir signalé ce problème.
Related Information
Legal Disclaimer
Affected Products
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArticle Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.