Versão impressa em inglês: DSA-2019-065 Vulnerabilidade de caminho de pesquisa não controlado da estrutura do Dell Update Package (DUP)

Summary: Consulte as informações sobre o DSA-2019-065 e o CVE-2019-3726, também conhecidos como Vulnerabilidade de caminho de pesquisa não controlada do Dell Update Package (DUP) Framework.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

A estrutura do Dell Update Package (DUP) foi atualizada para tratar uma vulnerabilidade que pode ser potencialmente explorada para comprometer o sistema.

 

Um (DUP) é um executável independente em formato de pacote padrão que atualiza um único elemento de software/firmware no sistema.  Um DUP consiste em duas partes:

  1. Uma estrutura que fornece uma interface consistente para aplicação de payloads
  2. O payload que é o firmware/o BIOS/os drivers

 

Para obter mais detalhes sobre DUPs, consulte DELL EMC Update Package (DUP) .

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Acknowledgements

A Dell gostaria de agradecer a Pierre-Alexandre Braeken, Silas Cutler e Eran Shimony por relatarem esse problema.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.