DSA-2019-065: Vulnerabilità del percorso di ricerca non controllato del framework Dell Update Package (DUP)

Summary: Fare riferimento alle informazioni su DSA-2019-065 e CVE-2019-3726, note anche come vulnerabilità del percorso di ricerca incontrollato del framework Dell Update Package (DUP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Il framework del Dell Update Package (DUP) è stato aggiornato per risolvere una vulnerabilità che potrebbe essere sfruttata per compromettere il sistema.

 

Un (DUP) è un eseguibile autonomo in un formato di pacchetto standard che aggiorna un singolo elemento software/firmware sul sistema.  Un DUP è costituito da due parti:

  1. Un framework che fornisce un'interfaccia coerente per l'applicazione di payload
  2. Il payload associato a firmware/BIOS/driver

 

Per ulteriori informazioni sui DUP, consultare DELL EMC Update Package (DUP).

Vulnerabilità del percorso di ricerca incontrollato (CVE-2019-3726)

 

Una vulnerabilità del percorso di ricerca non controllato è applicabile a quanto segue:

  • Versioni dei file del Dell Update Package (DUP) del Framework precedenti alla 19.1.0.413 e precedenti alla 103.4.6.69 utilizzate nei server Dell EMC.
  • Le versioni del file Dell Update Package (DUP) Framework precedenti alla versione 3.8.3.67 utilizzate nelle piattaforme client Dell. 

 

La vulnerabilità è limitata al framework DUP durante la finestra temporale in cui un DUP viene eseguito da un amministratore. Durante questo intervallo di tempo, un utente malevolo con privilegi bassi autenticato localmente potrebbe sfruttare questa vulnerabilità inducendo un amministratore a eseguire un file binario attendibile, caricando una DLL dannosa e consentendo all'utente malintenzionato di eseguire codice arbitrario sul sistema vittima. La vulnerabilità non influisce sull'effettivo payload binario fornito dal DUP.

Punteggio di base CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilità del percorso di ricerca incontrollato (CVE-2019-3726)

 

Una vulnerabilità del percorso di ricerca non controllato è applicabile a quanto segue:

  • Versioni dei file del Dell Update Package (DUP) del Framework precedenti alla 19.1.0.413 e precedenti alla 103.4.6.69 utilizzate nei server Dell EMC.
  • Le versioni del file Dell Update Package (DUP) Framework precedenti alla versione 3.8.3.67 utilizzate nelle piattaforme client Dell. 

 

La vulnerabilità è limitata al framework DUP durante la finestra temporale in cui un DUP viene eseguito da un amministratore. Durante questo intervallo di tempo, un utente malevolo con privilegi bassi autenticato localmente potrebbe sfruttare questa vulnerabilità inducendo un amministratore a eseguire un file binario attendibile, caricando una DLL dannosa e consentendo all'utente malintenzionato di eseguire codice arbitrario sul sistema vittima. La vulnerabilità non influisce sull'effettivo payload binario fornito dal DUP.

Punteggio di base CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Prodotti interessati:

 

  • Per le piattaforme client Dell: Versioni del file Dell Update Packages (DUP) Framework precedenti alla 3.8.3.67.
  • Per i server Dell EMC:
    • Driver di rete e Fibre Channel: Versioni dei file del Dell Update Package (DUP) Framework precedenti alla 103.4.6.69
    • Tutti gli altri driver, BIOS e firmware: Versioni del file Dell Update Package (DUP) Framework precedenti alla 19.1.0.413

Correzione:

I seguenti framework Dell Update Package (DUP) contengono una correzione alla vulnerabilità:

 

  • Piattaforme client Dell:  File del Dell Update Package (DUP) Framework versione 3.8.3.67 o successiva
  • Server Dell EMC - Driver di rete e Fibre Channel Pacchetto di aggiornamento Dell (DUP) Framework file versione 103.4.6.69 o successiva
  • Server Dell EMC: tutti gli altri driver, BIOS e firmware:  File del framework Dell Update Package (DUP) versione 19.1.0.413 o successive

 

Per verificare la versione del file DUP Framework, cliccare con il pulsante destro del mouse sul file DUP, selezionare Properties, quindi cliccare sulla scheda Details per trovare il numero di versione del file.

 

I clienti devono utilizzare il DUP più recente disponibile presso il supporto Dell durante l'aggiornamento dei sistemi. I clienti non devono scaricare ed eseguire nuovamente i DUP se il sistema esegue già la versione più recente del BIOS, del firmware o del contenuto del driver.     

 

Dell consiglia inoltre di eseguire i pacchetti software DUP da una posizione protetta, una posizione che richiede privilegi di amministratore per l'accesso come best practice.

 

Dell consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware. I clienti devono utilizzare un software di sicurezza per la protezione dal malware (software di prevenzione delle minacce avanzate o antivirus).

Prodotti interessati:

 

  • Per le piattaforme client Dell: Versioni del file Dell Update Packages (DUP) Framework precedenti alla 3.8.3.67.
  • Per i server Dell EMC:
    • Driver di rete e Fibre Channel: Versioni dei file del Dell Update Package (DUP) Framework precedenti alla 103.4.6.69
    • Tutti gli altri driver, BIOS e firmware: Versioni del file Dell Update Package (DUP) Framework precedenti alla 19.1.0.413

Correzione:

I seguenti framework Dell Update Package (DUP) contengono una correzione alla vulnerabilità:

 

  • Piattaforme client Dell:  File del Dell Update Package (DUP) Framework versione 3.8.3.67 o successiva
  • Server Dell EMC - Driver di rete e Fibre Channel Pacchetto di aggiornamento Dell (DUP) Framework file versione 103.4.6.69 o successiva
  • Server Dell EMC: tutti gli altri driver, BIOS e firmware:  File del framework Dell Update Package (DUP) versione 19.1.0.413 o successive

 

Per verificare la versione del file DUP Framework, cliccare con il pulsante destro del mouse sul file DUP, selezionare Properties, quindi cliccare sulla scheda Details per trovare il numero di versione del file.

 

I clienti devono utilizzare il DUP più recente disponibile presso il supporto Dell durante l'aggiornamento dei sistemi. I clienti non devono scaricare ed eseguire nuovamente i DUP se il sistema esegue già la versione più recente del BIOS, del firmware o del contenuto del driver.     

 

Dell consiglia inoltre di eseguire i pacchetti software DUP da una posizione protetta, una posizione che richiede privilegi di amministratore per l'accesso come best practice.

 

Dell consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware. I clienti devono utilizzare un software di sicurezza per la protezione dal malware (software di prevenzione delle minacce avanzate o antivirus).

Acknowledgements

Dell desidera ringraziare Pierre-Alexandre Braeken, Silas Cutler ed Eran Shimony per aver segnalato questo problema.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.