DSA-2019-065: Vulnerabilidad de ruta de búsqueda no controlada del marco del paquete de actualización de Dell (DUP)

Summary: Consulte la información acerca de DSA-2019-065 y CVE-2019-3726, también conocidos como la vulnerabilidad de ruta de búsqueda no controlada del marco de trabajo de Dell Update Package (DUP). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Se actualizó la infraestructura del Dell Update Package (DUP) para abordar una vulnerabilidad que podría aprovecharse para comprometer el sistema.

 

Un (DUP) es un archivo ejecutable independiente en un formato de paquete estándar que actualiza un único elemento de software/firmware en el sistema.  Un DUP consta de dos partes:

  1. Una infraestructura que proporciona una interfaz coherente para aplicar cargas útiles
  2. La carga útil que es el firmware/BIOS/controladores

 

Para obtener más detalles sobre los DUP, consulte Dell EMC Update Package (DUP).

Vulnerabilidad de ruta de búsqueda no controlada (CVE-2019-3726)

 

Una vulnerabilidad de ruta de búsqueda no controlada se aplica a lo siguiente:

  • Versiones de archivos de Framework de Dell Update Package (DUP) anteriores a 19.1.0.413 y versiones de archivos de Framework anteriores a 103.4.6.69 que se utilizan en servidores Dell EMC.
  • Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 3.8.3.67 que se utilizan en las plataformas de cliente de Dell. 

 

La vulnerabilidad se limita a la infraestructura de DUP durante la ventana de tiempo en que un administrador ejecuta un DUP. Durante esta ventana de tiempo, un usuario malicioso de bajos privilegios autenticado localmente podría aprovechar esta vulnerabilidad engañando a un administrador para que ejecute un binario de confianza, lo que hace que cargue un archivo DLL malicioso y permite que el atacante ejecute código arbitrario en el sistema víctima. La vulnerabilidad no afecta a la carga útil binaria real que entrega el DUP.

Puntaje base de CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilidad de ruta de búsqueda no controlada (CVE-2019-3726)

 

Una vulnerabilidad de ruta de búsqueda no controlada se aplica a lo siguiente:

  • Versiones de archivos de Framework de Dell Update Package (DUP) anteriores a 19.1.0.413 y versiones de archivos de Framework anteriores a 103.4.6.69 que se utilizan en servidores Dell EMC.
  • Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 3.8.3.67 que se utilizan en las plataformas de cliente de Dell. 

 

La vulnerabilidad se limita a la infraestructura de DUP durante la ventana de tiempo en que un administrador ejecuta un DUP. Durante esta ventana de tiempo, un usuario malicioso de bajos privilegios autenticado localmente podría aprovechar esta vulnerabilidad engañando a un administrador para que ejecute un binario de confianza, lo que hace que cargue un archivo DLL malicioso y permite que el atacante ejecute código arbitrario en el sistema víctima. La vulnerabilidad no afecta a la carga útil binaria real que entrega el DUP.

Puntaje base de CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Productos afectados:

 

  • Para las plataformas de cliente de Dell: Versiones de archivos de Dell Update Packages (DUP) Framework anteriores a 3.8.3.67.
  • Para servidores Dell EMC:
    • Controladores de redes y Fibre Channel: Versiones de archivos de Dell Update Package (DUP) Framework anteriores a 103.4.6.69
    • Todos los demás controladores, BIOS y firmware: Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 19.1.0.413

Corrección:

Las siguientes infraestructuras de Dell Update Package (DUP) contienen una corrección para la vulnerabilidad:

 

  • Plataformas de cliente de Dell:  Archivo de marco de Dell Update Package (DUP) versión 3.8.3.67 o posterior
  • Servidores Dell EMC: controladores de redes y Fibre Channel: Archivo de marco Dell Update Package (DUP) versión 103.4.6.69 o posterior
  • Servidores Dell EMC: todos los demás controladores, BIOS y firmware:  Versión 19.1.0.413 o posterior del archivo de infraestructura Dell Update Package (DUP)

 

Para comprobar la versión del archivo de marco de DUP, haga clic con el botón secundario en el archivo de DUP, seleccione Propiedades y haga clic en la pestaña Detalles para encontrar el número de versión del archivo.

 

Los clientes deben utilizar el último DUP disponible en el soporte de Dell cuando actualicen sus sistemas. Los clientes no necesitan descargar y volver a ejecutar los DUP si el sistema ya está ejecutando el contenido más reciente del BIOS, el firmware o el controlador.     

 

Dell también recomienda ejecutar los paquetes de software DUP desde una ubicación protegida, una que requiera privilegios administrativos para acceder como práctica recomendada.

 

Dell recomienda a los clientes que sigan las prácticas recomendadas de seguridad para la protección contra malware. Los clientes deben utilizar software de seguridad para ayudar a protegerse contra el malware (software de prevención de amenazas avanzadas o antivirus).

Productos afectados:

 

  • Para las plataformas de cliente de Dell: Versiones de archivos de Dell Update Packages (DUP) Framework anteriores a 3.8.3.67.
  • Para servidores Dell EMC:
    • Controladores de redes y Fibre Channel: Versiones de archivos de Dell Update Package (DUP) Framework anteriores a 103.4.6.69
    • Todos los demás controladores, BIOS y firmware: Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 19.1.0.413

Corrección:

Las siguientes infraestructuras de Dell Update Package (DUP) contienen una corrección para la vulnerabilidad:

 

  • Plataformas de cliente de Dell:  Archivo de marco de Dell Update Package (DUP) versión 3.8.3.67 o posterior
  • Servidores Dell EMC: controladores de redes y Fibre Channel: Archivo de marco Dell Update Package (DUP) versión 103.4.6.69 o posterior
  • Servidores Dell EMC: todos los demás controladores, BIOS y firmware:  Versión 19.1.0.413 o posterior del archivo de infraestructura Dell Update Package (DUP)

 

Para comprobar la versión del archivo de marco de DUP, haga clic con el botón secundario en el archivo de DUP, seleccione Propiedades y haga clic en la pestaña Detalles para encontrar el número de versión del archivo.

 

Los clientes deben utilizar el último DUP disponible en el soporte de Dell cuando actualicen sus sistemas. Los clientes no necesitan descargar y volver a ejecutar los DUP si el sistema ya está ejecutando el contenido más reciente del BIOS, el firmware o el controlador.     

 

Dell también recomienda ejecutar los paquetes de software DUP desde una ubicación protegida, una que requiera privilegios administrativos para acceder como práctica recomendada.

 

Dell recomienda a los clientes que sigan las prácticas recomendadas de seguridad para la protección contra malware. Los clientes deben utilizar software de seguridad para ayudar a protegerse contra el malware (software de prevención de amenazas avanzadas o antivirus).

Acknowledgements

Dell desea agradecer a Pierre-Alexandre Braeken, Silas Cutler y Eran Shimony por informar este problema.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.