ДСА-2019-065: Уразливість неконтрольованого шляху пошуку Dell Update Package (DUP) Framework

Summary: Зверніться до інформації про вразливість DSA-2019-065 і CVE-2019-3726, також відому як уразливість неконтрольованого шляху пошуку Dell Update Package (DUP) Framework.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Фреймворк Dell Update Package (DUP) було оновлено для усунення вразливості, яка потенційно може бути використана для компрометації системи.

 

A (DUP) — це самодостатній виконуваний файл у стандартному форматі пакета, який оновлює один елемент програмного забезпечення/мікропрограми в системі.  ДЮП складається з двох частин:

  1. Фреймворк, що забезпечує узгоджений інтерфейс для застосування корисних навантажень
  2. Корисне навантаження, яке є мікропрограмою/BIOS/драйверами

 

Щоб отримати докладнішу інформацію про DUP, перегляньте статтю DELL EMC Update Package (DUP) .

Уразливість неконтрольованого шляху пошуку (CVE-2019-3726)

 

Уразливість неконтрольованого шляху пошуку застосовується до наступного:

  • Версії файлів Dell Update Package (DUP) до 19.1.0.413 і версії файлів Framework до 103.4.6.69, які використовуються на серверах Dell EMC.
  • Версії файлів фреймворку Dell Update Package (DUP) до 3.8.3.67, що використовуються на клієнтських платформах Dell. 

 

Вразливість обмежена фреймворком DUP під час часового вікна, коли DUP виконується адміністратором. Протягом цього періоду часу зловмисник із локальною автентифікацією з низькими привілеями потенційно може скористатися цією вразливістю, обманом змусивши адміністратора запустити довірений двійковий файл, змусивши його завантажити шкідливу бібліотеку DLL і дозволити зловмиснику виконати довільний код у системі-жертві. Уразливість не впливає на фактичне двійкове корисне навантаження, яке надає DUP.

Базова оцінка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Уразливість неконтрольованого шляху пошуку (CVE-2019-3726)

 

Уразливість неконтрольованого шляху пошуку застосовується до наступного:

  • Версії файлів Dell Update Package (DUP) до 19.1.0.413 і версії файлів Framework до 103.4.6.69, які використовуються на серверах Dell EMC.
  • Версії файлів фреймворку Dell Update Package (DUP) до 3.8.3.67, що використовуються на клієнтських платформах Dell. 

 

Вразливість обмежена фреймворком DUP під час часового вікна, коли DUP виконується адміністратором. Протягом цього періоду часу зловмисник із локальною автентифікацією з низькими привілеями потенційно може скористатися цією вразливістю, обманом змусивши адміністратора запустити довірений двійковий файл, змусивши його завантажити шкідливу бібліотеку DLL і дозволити зловмиснику виконати довільний код у системі-жертві. Уразливість не впливає на фактичне двійкове корисне навантаження, яке надає DUP.

Базова оцінка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Продукти, на які вплинули:

 

  • Для клієнтських платформ Dell: Версії файлів фреймворку Dell Update Packages (DUP) до 3.8.3.67.
  • Для серверів Dell EMC:
    • Драйвери мережі та оптоволоконного каналу: Версії файлів фреймворку Dell Update Package (DUP) до 103.4.6.69
    • Всі інші драйвери, BIOS і прошивка: Версії файлів фреймворку Dell Update Package (DUP) до 19.1.0.413

Усунення:

Наведені нижче фреймворки Dell Update Package (DUP) містять виправлення вразливості:

 

  • Клієнтські платформи Dell:  Файл фреймворку Dell Update Package (DUP) версії 3.8.3.67 або новішої
  • Сервери Dell EMC – драйвери для мереж і оптоволоконних каналів: Фреймворк Dell Update Package (DUP) версії 103.4.6.69 або новішої
  • Сервери Dell EMC – всі інші драйвери, BIOS і прошивки:  Версія файлу фреймворку Dell Update Package (DUP) 19.1.0.413 або новіша

 

Щоб перевірити версію файлу DUP Framework, клацніть правою кнопкою миші файл DUP, виберіть «Властивості» та перейдіть на вкладку «Подробиці», щоб знайти номер версії файлу.

 

Під час оновлення своїх систем клієнти повинні використовувати найновішу версію DUP, доступну в службі підтримки Dell. Клієнтам не потрібно завантажувати та перезапускати DUP, якщо система вже працює під керуванням останньої версії BIOS, прошивки або вмісту драйверів.     

 

Dell також рекомендує виконувати програмні пакети DUP із захищеного місця, для доступу до якого потрібні адміністративні привілеї як найкраща практика.

 

Dell рекомендує клієнтам дотримуватися найкращих практик безпеки для захисту від шкідливого програмного забезпечення. Клієнти мають використовувати захисне програмне забезпечення для захисту від зловмисного програмного забезпечення (розширене програмне забезпечення для запобігання загрозам або антивірус).

Продукти, на які вплинули:

 

  • Для клієнтських платформ Dell: Версії файлів фреймворку Dell Update Packages (DUP) до 3.8.3.67.
  • Для серверів Dell EMC:
    • Драйвери мережі та оптоволоконного каналу: Версії файлів фреймворку Dell Update Package (DUP) до 103.4.6.69
    • Всі інші драйвери, BIOS і прошивка: Версії файлів фреймворку Dell Update Package (DUP) до 19.1.0.413

Усунення:

Наведені нижче фреймворки Dell Update Package (DUP) містять виправлення вразливості:

 

  • Клієнтські платформи Dell:  Файл фреймворку Dell Update Package (DUP) версії 3.8.3.67 або новішої
  • Сервери Dell EMC – драйвери для мереж і оптоволоконних каналів: Фреймворк Dell Update Package (DUP) версії 103.4.6.69 або новішої
  • Сервери Dell EMC – всі інші драйвери, BIOS і прошивки:  Версія файлу фреймворку Dell Update Package (DUP) 19.1.0.413 або новіша

 

Щоб перевірити версію файлу DUP Framework, клацніть правою кнопкою миші файл DUP, виберіть «Властивості» та перейдіть на вкладку «Подробиці», щоб знайти номер версії файлу.

 

Під час оновлення своїх систем клієнти повинні використовувати найновішу версію DUP, доступну в службі підтримки Dell. Клієнтам не потрібно завантажувати та перезапускати DUP, якщо система вже працює під керуванням останньої версії BIOS, прошивки або вмісту драйверів.     

 

Dell також рекомендує виконувати програмні пакети DUP із захищеного місця, для доступу до якого потрібні адміністративні привілеї як найкраща практика.

 

Dell рекомендує клієнтам дотримуватися найкращих практик безпеки для захисту від шкідливого програмного забезпечення. Клієнти мають використовувати захисне програмне забезпечення для захисту від зловмисного програмного забезпечення (розширене програмне забезпечення для запобігання загрозам або антивірус).

Acknowledgements

Dell висловлює подяку П'єру-Александру Брекену, Сайласу Катлеру та Ерану Шимоні за висвітлення цієї проблеми.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.