DSA-2019-065: Уязвимость неконтролируемого пути поиска в инфраструктуре пакета Dell Update Package (DUP)
Summary: См. информацию об уязвимости DSA-2019-065 и CVE-2019-3726, также известной как уязвимость Dell Update Package (DUP), делающая неконтролируемый путь поиска.
Impact
Medium
Details
Структура пакета обновлений Dell Update Package (DUP) была обновлена для устранения уязвимости, которая может быть использована для взлома системы.
A (DUP) — это автономный исполняемый файл в стандартном формате пакета, который обновляет один элемент программного обеспечения или микропрограммы в системе. Пакет DUP состоит из двух частей:
- структуру, обеспечивающую последовательный интерфейс для установки полезных нагрузок;
- полезную нагрузку (микропрограмма, BIOS, драйверы).
Дополнительные сведения о пакетах DUP см. в разделе Пакет обновлений DELL EMC (DUP).
Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)
Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:
- В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
- Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell.
Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные
полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)
Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:
- В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
- Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell.
Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные
полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Affected Products & Remediation
Затронутые продукты:
- Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
- Для серверов Dell EMC:
- Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
- Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413
Remediation.
Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:
- Клиентские платформы Dell: Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
- Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
- Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы: Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней
Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.
Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.
Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.
Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).
Затронутые продукты:
- Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
- Для серверов Dell EMC:
- Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
- Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413
Remediation.
Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:
- Клиентские платформы Dell: Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
- Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
- Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы: Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней
Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.
Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.
Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.
Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).
Acknowledgements
Компания Dell благодарит Пьера-Александра Брекена (Pierre-Alexandre Braeken), Сайласа Катлера (Silas Cutler) и Эрана Шимони (Eran Шимony) за сообщение об этой проблеме.