DSA-2019-065: DUP (Dell Update Package) -kehyksen hallitsemattoman hakupolun haavoittuvuus

Summary: Katso ohjeet DSA-2019-065- ja CVE-2019-3726-haavoittuvuuksista, jotka tunnetaan myös nimellä DUP (Dell Update Package) Framework Uncontrolled Search Path Vulnerability.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Dell Update Package (DUP) Framework on päivitetty korjaamaan haavoittuvuus, jota hyödyntämällä järjestelmä saattaa vaarantua.

 

A (DUP) on itsenäinen suoritettava tiedosto vakiopakettimuodossa, joka päivittää järjestelmän yksittäisen ohjelmisto-/laiteohjelmistoelementin.  DUP koostuu kahdesta osasta:

  1. vakaana käyttöliittymänä toimiva kehys, jossa otetaan käyttöön tietoja
  2. tiedot, jotka ovat itse laiteohjelmisto/BIOS/ohjaimet

 

Lisätietoja DUP-paketeista on artikkelissa DELL EMC Update Package (DUP) .

Hallitsemattoman hakupolun haavoittuvuus (CVE-2019-3726)

 

Hallitsemattoman hakupolun haavoittuvuus koskee seuraavia:

  • Dell EMC -palvelimissa käytetyt DUP (Dell Update Package) Framework -tiedostoversiot versiota 19.1.0.413 vanhemmat versiot ja versiota 103.4.6.69 vanhemmat Framework-tiedostoversiot.
  • Dell Update Package (DUP) Framework -tiedostoversiot, jotka ovat vanhempia kuin 3.8.3.67 ja joita käytetään Dell-asiakasympäristöissä. 

 

Haavoittuvuus rajoittuu DUP-kehykseen sinä aikana, kun järjestelmänvalvoja suorittaa DUP-pakettia. Tänä aikana paikallisesti todennettu alhaisten käyttöoikeuksien haitallinen käyttäjä voi mahdollisesti hyödyntää tätä haavoittuvuutta huijaamalla järjestelmänvalvojan suorittamaan luotetun binaaritiedoston, jolloin se lataa haitallisen DLL:n ja sallii hyökkääjän suorittaa mielivaltaista koodia uhrijärjestelmässä. Haavoittuvuus ei vaikuta DUP:n toimittamaan varsinaiseen binäärihyötykuormaan.

CVSSv3-peruspisteet: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Hallitsemattoman hakupolun haavoittuvuus (CVE-2019-3726)

 

Hallitsemattoman hakupolun haavoittuvuus koskee seuraavia:

  • Dell EMC -palvelimissa käytetyt DUP (Dell Update Package) Framework -tiedostoversiot versiota 19.1.0.413 vanhemmat versiot ja versiota 103.4.6.69 vanhemmat Framework-tiedostoversiot.
  • Dell Update Package (DUP) Framework -tiedostoversiot, jotka ovat vanhempia kuin 3.8.3.67 ja joita käytetään Dell-asiakasympäristöissä. 

 

Haavoittuvuus rajoittuu DUP-kehykseen sinä aikana, kun järjestelmänvalvoja suorittaa DUP-pakettia. Tänä aikana paikallisesti todennettu alhaisten käyttöoikeuksien haitallinen käyttäjä voi mahdollisesti hyödyntää tätä haavoittuvuutta huijaamalla järjestelmänvalvojan suorittamaan luotetun binaaritiedoston, jolloin se lataa haitallisen DLL:n ja sallii hyökkääjän suorittaa mielivaltaista koodia uhrijärjestelmässä. Haavoittuvuus ei vaikuta DUP:n toimittamaan varsinaiseen binäärihyötykuormaan.

CVSSv3-peruspisteet: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Tuotteet, joita asia koskee:

 

  • Dell-asiakasympäristöt: Dell Update Packages (DUP) Framework -tiedostoversiot, jotka ovat vanhempia kuin 3.8.3.67.
  • Dell EMC -palvelimet:
    • Verkko- ja kuitukanava-ajurit: Dell Update Package (DUP) Framework -tiedostoversiot, jotka ovat aiempia kuin 103.4.6.69
    • Kaikki muut ajurit, BIOS ja laiteohjelmistot: Dell Update Package (DUP) Framework -tiedostoversiota 19.1.0.413 aiemmat versiot

Korjaus:

Seuraavat DUP (Dell Update Package) -viitekehykset sisältävät haavoittuvuuden korjauksen:

 

  • Dell-asiakasympäristöt:  Dell Update Package (DUP) Framework -tiedoston versio 3.8.3.67 tai uudempi
  • Dell EMC -palvelimet – verkko- ja kuitukanavan ajurit: Dell Update Package (DUP) Framework -tiedoston versio 103.4.6.69 tai uudempi
  • Dell EMC -palvelimet – kaikki muut ajurit, BIOS ja laiteohjelmisto:  Dell Update Package (DUP) -kehystiedoston versio 19.1.0.413 tai uudempi

 

Voit tarkistaa DUP Framework -tiedoston version napsauttamalla DUP-tiedostoa hiiren kakkospainikkeella, valitsemalla Ominaisuudet ja napsauttamalla Tiedot-välilehteä löytääksesi tiedoston versionumeron.

 

Asiakkaiden tulee käyttää uusimpaa, Dellin tuelta saatavaa DUP-pakettia päivittäessään järjestelmiään. Asiakkaiden ei tarvitse ladata ja suorittaa DUP-paketteja uudelleen, jos järjestelmässä on jo asennettuna BIOSin, laiteohjelmiston tai ohjaimen uusin sisältö.     

 

Dell suosittelee myös suorittamaan DUP-ohjelmistopaketit suojatusta sijainnista, jonka käyttö edellyttää järjestelmänvalvojan oikeuksia.

 

Dell suosittelee, että asiakkaat noudattavat haittaohjelmasuojauksen parhaita käytäntöjä. Asiakkaiden tulee käyttää haittaohjelmilta suojautumiseen tietoturvaohjelmistoa (kehittynyttä uhkien torjuntaohjelmistoa tai virustorjuntaohjelmistoa).

Tuotteet, joita asia koskee:

 

  • Dell-asiakasympäristöt: Dell Update Packages (DUP) Framework -tiedostoversiot, jotka ovat vanhempia kuin 3.8.3.67.
  • Dell EMC -palvelimet:
    • Verkko- ja kuitukanava-ajurit: Dell Update Package (DUP) Framework -tiedostoversiot, jotka ovat aiempia kuin 103.4.6.69
    • Kaikki muut ajurit, BIOS ja laiteohjelmistot: Dell Update Package (DUP) Framework -tiedostoversiota 19.1.0.413 aiemmat versiot

Korjaus:

Seuraavat DUP (Dell Update Package) -viitekehykset sisältävät haavoittuvuuden korjauksen:

 

  • Dell-asiakasympäristöt:  Dell Update Package (DUP) Framework -tiedoston versio 3.8.3.67 tai uudempi
  • Dell EMC -palvelimet – verkko- ja kuitukanavan ajurit: Dell Update Package (DUP) Framework -tiedoston versio 103.4.6.69 tai uudempi
  • Dell EMC -palvelimet – kaikki muut ajurit, BIOS ja laiteohjelmisto:  Dell Update Package (DUP) -kehystiedoston versio 19.1.0.413 tai uudempi

 

Voit tarkistaa DUP Framework -tiedoston version napsauttamalla DUP-tiedostoa hiiren kakkospainikkeella, valitsemalla Ominaisuudet ja napsauttamalla Tiedot-välilehteä löytääksesi tiedoston versionumeron.

 

Asiakkaiden tulee käyttää uusimpaa, Dellin tuelta saatavaa DUP-pakettia päivittäessään järjestelmiään. Asiakkaiden ei tarvitse ladata ja suorittaa DUP-paketteja uudelleen, jos järjestelmässä on jo asennettuna BIOSin, laiteohjelmiston tai ohjaimen uusin sisältö.     

 

Dell suosittelee myös suorittamaan DUP-ohjelmistopaketit suojatusta sijainnista, jonka käyttö edellyttää järjestelmänvalvojan oikeuksia.

 

Dell suosittelee, että asiakkaat noudattavat haittaohjelmasuojauksen parhaita käytäntöjä. Asiakkaiden tulee käyttää haittaohjelmilta suojautumiseen tietoturvaohjelmistoa (kehittynyttä uhkien torjuntaohjelmistoa tai virustorjuntaohjelmistoa).

Acknowledgements

Dell haluaa kiittää Pierre-Alexandre Braekenia, Silas Cutleria ja Eran Shimonya ongelmasta ilmoittamisesta.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.