Označení normy: DSA-2019-065 Chyba zabezpečení nekontrolované vyhledávací cesty v rámci balíčku Dell Update Package (DUP)

Summary: Přečtěte si informace o chybách DSA-2019-065 a CVE-2019-3726, známých také jako chyba zabezpečení nekontrolované vyhledávací cesty rámce Dell Update Package (DUP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Systém Dell Update Package (DUP) byl aktualizován kvůli řešení chyby zabezpečení, kterou lze potenciálně zneužít k ohrožení systému.

 

Balíček (DUP) je celistvý spustitelný soubor ve formátu standardního balíčku, který aktualizuje jeden prvek softwaru/firmwaru v systému.  Balíček DUP se skládá ze dvou částí:

  1. Platforma poskytující konzistentní rozhraní pro aplikaci datových částí
  2. Datová část, tedy firmware/systém BIOS/ovladače

 

Další informace o balíčcích DUP naleznete v článku Aktualizační balíček DELL EMC (DUP) .

Chyba zabezpečení nekontrolované vyhledávací cesty (CVE-2019-3726)

 

Chyba zabezpečení týkající se nekontrolované cesty vyhledávání se vztahuje na následující případy:

  • Verze souboru rozhraní Dell Update Package (DUP) starší než 19.1.0.413 a verze souborů rozhraní starší než 103.4.6.69 používané na serverech Dell EMC.
  • Verze souboru rozhraní Dell Update Package (DUP) před verzí 3.8.3.67 používané v klientských platformách Dell. 

 

Tato chyba zabezpečení je omezena na rámec balíčku DUP v časovém okně, kdy správce balíček DUP spouští. Během tohoto časového období by místně ověřený uživatel se zlými úmysly s nízkými oprávněními mohl potenciálně tuto chybu zneužít, a to tak, že oklame správce, aby spustil důvěryhodný binární soubor, což způsobí načtení škodlivého souboru DLL a umožní útočníkovi spustit libovolný kód v systému oběti. Tato chyba zabezpečení nemá vliv na skutečnou binární datovou část, kterou balíček DUP doručuje.

Základní skóre CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Chyba zabezpečení nekontrolované vyhledávací cesty (CVE-2019-3726)

 

Chyba zabezpečení týkající se nekontrolované cesty vyhledávání se vztahuje na následující případy:

  • Verze souboru rozhraní Dell Update Package (DUP) starší než 19.1.0.413 a verze souborů rozhraní starší než 103.4.6.69 používané na serverech Dell EMC.
  • Verze souboru rozhraní Dell Update Package (DUP) před verzí 3.8.3.67 používané v klientských platformách Dell. 

 

Tato chyba zabezpečení je omezena na rámec balíčku DUP v časovém okně, kdy správce balíček DUP spouští. Během tohoto časového období by místně ověřený uživatel se zlými úmysly s nízkými oprávněními mohl potenciálně tuto chybu zneužít, a to tak, že oklame správce, aby spustil důvěryhodný binární soubor, což způsobí načtení škodlivého souboru DLL a umožní útočníkovi spustit libovolný kód v systému oběti. Tato chyba zabezpečení nemá vliv na skutečnou binární datovou část, kterou balíček DUP doručuje.

Základní skóre CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Dotčené produkty:

 

  • Pro klientské platformy Dell: Verze souborů rozhraní Dell Update Packages (DUP) starší než 3.8.3.67
  • Pro servery Dell EMC:
    • Ovladače sítí a technologie Fibre Channel: Verze souboru rozhraní Dell Update Package (DUP) starší než 103.4.6.69
    • Všechny ostatní ovladače, systém BIOS a firmware: Verze souboru rozhraní Dell Update Package (DUP) starší než 19.1.0.413

Remediation:

Následující rámce balíčku Dell Update Package (DUP) obsahují nápravu této chyby zabezpečení:

 

  • Klientské platformy Dell:  Rozhraní balíčku Dell Update Package (DUP) verze 3.8.3.67 nebo novější
  • Servery Dell EMC – ovladače pro sítě a technologie Fibre Channel: Balíček Dell Update Package (DUP) Framework verze 103.4.6.69 nebo novější
  • Servery Dell EMC – všechny ostatní ovladače, systém BIOS a firmware:  Soubor rámce balíčku Dell Update Package (DUP) verze 19.1.0.413 nebo novější

 

Chcete-li zjistit verzi souboru DUP Framework, klikněte pravým tlačítkem myši na soubor DUP, vyberte možnost Vlastnosti a kliknutím na kartu Podrobnosti vyhledejte číslo verze souboru.

 

Zákazníci by měli při aktualizaci svých systémů používat nejnovější balíček DUP dostupný od podpory společnosti Dell. Zákazníci nemusí balíčky DUP stahovat a spouštět znovu, pokud již systém používá nejnovější systém BIOS, firmware nebo obsah ovladačů.     

 

Společnost Dell také doporučuje spouštět softwarové balíčky DUP z chráněného umístění, které vyžaduje oprávnění správce.

 

Společnost Dell doporučuje zákazníkům dodržovat vzorové bezpečnostní postupy pro ochranu před malwarem. Zákazníci by měli používat bezpečnostní software, který jim pomůže chránit se před malwarem (software pro prevenci pokročilých hrozeb nebo antivirový software).

Dotčené produkty:

 

  • Pro klientské platformy Dell: Verze souborů rozhraní Dell Update Packages (DUP) starší než 3.8.3.67
  • Pro servery Dell EMC:
    • Ovladače sítí a technologie Fibre Channel: Verze souboru rozhraní Dell Update Package (DUP) starší než 103.4.6.69
    • Všechny ostatní ovladače, systém BIOS a firmware: Verze souboru rozhraní Dell Update Package (DUP) starší než 19.1.0.413

Remediation:

Následující rámce balíčku Dell Update Package (DUP) obsahují nápravu této chyby zabezpečení:

 

  • Klientské platformy Dell:  Rozhraní balíčku Dell Update Package (DUP) verze 3.8.3.67 nebo novější
  • Servery Dell EMC – ovladače pro sítě a technologie Fibre Channel: Balíček Dell Update Package (DUP) Framework verze 103.4.6.69 nebo novější
  • Servery Dell EMC – všechny ostatní ovladače, systém BIOS a firmware:  Soubor rámce balíčku Dell Update Package (DUP) verze 19.1.0.413 nebo novější

 

Chcete-li zjistit verzi souboru DUP Framework, klikněte pravým tlačítkem myši na soubor DUP, vyberte možnost Vlastnosti a kliknutím na kartu Podrobnosti vyhledejte číslo verze souboru.

 

Zákazníci by měli při aktualizaci svých systémů používat nejnovější balíček DUP dostupný od podpory společnosti Dell. Zákazníci nemusí balíčky DUP stahovat a spouštět znovu, pokud již systém používá nejnovější systém BIOS, firmware nebo obsah ovladačů.     

 

Společnost Dell také doporučuje spouštět softwarové balíčky DUP z chráněného umístění, které vyžaduje oprávnění správce.

 

Společnost Dell doporučuje zákazníkům dodržovat vzorové bezpečnostní postupy pro ochranu před malwarem. Zákazníci by měli používat bezpečnostní software, který jim pomůže chránit se před malwarem (software pro prevenci pokročilých hrozeb nebo antivirový software).

Acknowledgements

Společnost Dell by ráda poděkovala Pierru-Alexandru Braekenovi, Silasi Cutlerovi a Eranu Shimonymu za nahlášení tohoto problému.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.