DSA-2019-065:Dell Update Package (DUP) 框架不受控制的搜索路径漏洞
Summary: 请参阅有关 DSA-2019-065 和 CVE-2019-3726(也称为 Dell Update Package (DUP) 框架不受控制的搜索路径漏洞)的信息。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Impact
Medium
Details
Dell Update Package (DUP) 框架已更新,以解决可能被利用来破坏系统的漏洞。
(DUP) 是采用标准软件包格式的独立可执行文件,用于更新系统上的单个软件/固件元素。 DUP 由两部分组成:
- 提供一致接口的框架,用于应用负载
- 作为固件/BIOS/驱动程序的负载
有关 DUP 的更多详细信息,请参阅 DELL EMC Update Package (DUP)。
不受控制的搜索路径漏洞 (CVE-2019-3726)
不受控制的搜索路径漏洞适用于以下内容:
- Dell EMC 服务器中使用的 Dell Update Package (DUP) 19.1.0.413 之前的框架文件版本以及 103.4.6.69 之前的框架文件版本。
- 戴尔客户端平台中使用的 3.8.3.67 之前的 Dell Update Package (DUP) Framework 文件版本。
在管理员执行 DUP 的时间窗口期间,该漏洞仅限于 DUP 框架。在此时间窗口内,经过本地身份验证的低权限恶意用户可能通过诱骗管理员运行受信任的二进制文件,使其加载恶意 DLL 并允许攻击者在受害系统上执行任意代码来利用此漏洞。该漏洞不会影响 DUP 提供的实际二进制有效负载。
CVSSv3 基本分数:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
不受控制的搜索路径漏洞 (CVE-2019-3726)
不受控制的搜索路径漏洞适用于以下内容:
- Dell EMC 服务器中使用的 Dell Update Package (DUP) 19.1.0.413 之前的框架文件版本以及 103.4.6.69 之前的框架文件版本。
- 戴尔客户端平台中使用的 3.8.3.67 之前的 Dell Update Package (DUP) Framework 文件版本。
在管理员执行 DUP 的时间窗口期间,该漏洞仅限于 DUP 框架。在此时间窗口内,经过本地身份验证的低权限恶意用户可能通过诱骗管理员运行受信任的二进制文件,使其加载恶意 DLL 并允许攻击者在受害系统上执行任意代码来利用此漏洞。该漏洞不会影响 DUP 提供的实际二进制有效负载。
CVSSv3 基本分数:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Affected Products & Remediation
受影响的产品:
- 对于戴尔客户端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 文件版本。
- 对于 Dell EMC 服务器:
- 网络和光纤通道驱动程序:103.4.6.69 之前的 Dell Update Package (DUP) Framework 文件版本
- 所有其他驱动程序、BIOS 和固件:19.1.0.413 之前的 Dell Update Package (DUP) Framework 文件版本
Remediation:
以下 Dell Update Package (DUP) 框架包含此漏洞的修正:
- 戴尔客户端平台: Dell Update Package (DUP) Framework 文件版本 3.8.3.67 或更高版本
- Dell EMC 服务器 – 网络和光纤通道驱动程序:Dell Update Package (DUP) Framework 文件版本 103.4.6.69 或更高版本
- Dell EMC 服务器 - 所有其他驱动程序、BIOS 和固件: Dell Update Package (DUP) 框架文件版本 19.1.0.413 或更高版本
要检查 DUP Framework 文件版本,请右键单击 DUP 文件,选择“属性”,然后单击“详细信息”选项卡以查找文件版本号。
在更新系统时,客户应使用戴尔支持提供的最新 DUP。如果系统已在运行最新的 BIOS、固件或驱动程序内容,则客户无需下载并重新运行 DUP。
戴尔还建议从受保护的位置执行 DUP 软件包,作为最佳实践,需要管理权限才能访问该位置。
戴尔建议客户遵循安全最佳实践来保护恶意软件。客户应使用安全软件来帮助防范恶意软件(Advanced Threat Prevention 软件或防病毒软件)。
受影响的产品:
- 对于戴尔客户端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 文件版本。
- 对于 Dell EMC 服务器:
- 网络和光纤通道驱动程序:103.4.6.69 之前的 Dell Update Package (DUP) Framework 文件版本
- 所有其他驱动程序、BIOS 和固件:19.1.0.413 之前的 Dell Update Package (DUP) Framework 文件版本
Remediation:
以下 Dell Update Package (DUP) 框架包含此漏洞的修正:
- 戴尔客户端平台: Dell Update Package (DUP) Framework 文件版本 3.8.3.67 或更高版本
- Dell EMC 服务器 – 网络和光纤通道驱动程序:Dell Update Package (DUP) Framework 文件版本 103.4.6.69 或更高版本
- Dell EMC 服务器 - 所有其他驱动程序、BIOS 和固件: Dell Update Package (DUP) 框架文件版本 19.1.0.413 或更高版本
要检查 DUP Framework 文件版本,请右键单击 DUP 文件,选择“属性”,然后单击“详细信息”选项卡以查找文件版本号。
在更新系统时,客户应使用戴尔支持提供的最新 DUP。如果系统已在运行最新的 BIOS、固件或驱动程序内容,则客户无需下载并重新运行 DUP。
戴尔还建议从受保护的位置执行 DUP 软件包,作为最佳实践,需要管理权限才能访问该位置。
戴尔建议客户遵循安全最佳实践来保护恶意软件。客户应使用安全软件来帮助防范恶意软件(Advanced Threat Prevention 软件或防病毒软件)。
Acknowledgements
Dell 在此感谢 Pierre-Alexandre Braeken、Silas Cutler 和 Eran Shimony 报告此问题。
Related Information
Legal Disclaimer
Affected Products
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArticle Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.