DSA-2019-065: Beveiligingslek in Dell Update Package (DUP) framework met betrekking tot ongecontroleerd zoekpad

Summary: Raadpleeg de informatie over DSA-2019-065 en CVE-2019-3726, ook wel bekend als het Dell Update Package (DUP) framework Uncontrolled Search Path beveiligingslek.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Het Dell Update Package (DUP) framework is bijgewerkt om een beveiligingslek op te lossen dat kan worden misbruikt om het systeem in gevaar te brengen.

 

Een (DUP) is een op zichzelf staand uitvoerbaar bestand in een standaardpakketindeling waarmee één software-/firmware-element op het systeem wordt bijgewerkt.  Een DUP bestaat uit twee delen:

  1. Een framework dat een consistente interface biedt voor het toepassen van payloads
  2. De payload die de firmware/BIOS/drivers is

 

Zie het Dell EMC Update Package (DUP) voor meer informatie over DUP's.

Beveiligingslek met betrekking tot ongecontroleerd zoekpad (CVE-2019-3726)

 

Een beveiligingslek met betrekking tot een ongecontroleerd zoekpad is van toepassing op het volgende:

  • Dell Update Package (DUP) Framework-bestandsversies ouder dan 19.1.0.413 en Framework-bestandsversies ouder dan 103.4.6.69 die worden gebruikt in Dell EMC servers.
  • Dell Update Package (DUP) Framework-bestandsversies ouder dan 3.8.3.67 die worden gebruikt in Dell clientplatforms. 

 

Het beveiligingslek is beperkt tot het DUP-framework tijdens het tijdsvenster waarin een DUP wordt uitgevoerd door een beheerder. Tijdens dit tijdsbestek kan een lokaal geverifieerde kwaadwillende gebruiker met lage bevoegdheden misbruik maken van dit beveiligingslek door een beheerder te misleiden om een vertrouwd binair bestand uit te voeren, waardoor een schadelijke DLL wordt geladen en de aanvaller willekeurige code op het systeem van het slachtoffer kan uitvoeren. Het beveiligingslek heeft geen invloed op de daadwerkelijke binaire payload die het DUP levert.

CVSSv3-basisscore: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Beveiligingslek met betrekking tot ongecontroleerd zoekpad (CVE-2019-3726)

 

Een beveiligingslek met betrekking tot een ongecontroleerd zoekpad is van toepassing op het volgende:

  • Dell Update Package (DUP) Framework-bestandsversies ouder dan 19.1.0.413 en Framework-bestandsversies ouder dan 103.4.6.69 die worden gebruikt in Dell EMC servers.
  • Dell Update Package (DUP) Framework-bestandsversies ouder dan 3.8.3.67 die worden gebruikt in Dell clientplatforms. 

 

Het beveiligingslek is beperkt tot het DUP-framework tijdens het tijdsvenster waarin een DUP wordt uitgevoerd door een beheerder. Tijdens dit tijdsbestek kan een lokaal geverifieerde kwaadwillende gebruiker met lage bevoegdheden misbruik maken van dit beveiligingslek door een beheerder te misleiden om een vertrouwd binair bestand uit te voeren, waardoor een schadelijke DLL wordt geladen en de aanvaller willekeurige code op het systeem van het slachtoffer kan uitvoeren. Het beveiligingslek heeft geen invloed op de daadwerkelijke binaire payload die het DUP levert.

CVSSv3-basisscore: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Betreffende producten:

 

  • Voor Dell clientplatforms: Dell Update Packages (DUP) Framework-bestandsversies ouder dan 3.8.3.67.
  • Voor Dell EMC servers:
    • Netwerk- en Fibre Channel-drivers: Dell Update Package (DUP) Framework-bestandsversies vóór 103.4.6.69
    • Alle andere drivers, BIOS en firmware: Dell Update Package (DUP) Framework-bestandsversies vóór 19.1.0.413

Herstel:

De volgende Dell Update Package (DUP) frameworks bevatten een oplossing voor het beveiligingslek:

 

  • Dell clientplatforms:  Dell Update Package (DUP) framework-bestand versie 3.8.3.67 of hoger
  • Dell EMC servers – Netwerk- en Fibre Channel-drivers: Dell Update Package (DUP) Framework-bestand versie 103.4.6.69 of hoger
  • Dell EMC servers - alle andere drivers, BIOS en firmware:  Dell Update Package (DUP) framework file versies 19.1.0.413 of hoger

 

Als u de versie van het DUP Framework-bestand wilt controleren, klikt u met de rechtermuisknop op het DUP-bestand, selecteert u Eigenschappen en klikt u op het tabblad Details om het versienummer van het bestand te vinden.

 

Klanten moeten bij het updaten van hun systemen de nieuwste DUP gebruiken die beschikbaar is bij Dell Support. Klanten hoeven DUP's niet te downloaden en opnieuw uit te voeren als het systeem al beschikt over de meest recente BIOS-, firmware- of driverinhoud.     

 

Dell raadt ook aan om DUP-softwarepakketten uit te voeren vanaf een beveiligde locatie, een locatie die beheerdersrechten vereist om toegang te krijgen als best practice.

 

Dell raadt klanten aan de best practices voor beveiliging tegen malware te volgen. Klanten moeten beveiligingssoftware gebruiken om zich te beschermen tegen malware (geavanceerde antivirussoftware of antivirus).

Betreffende producten:

 

  • Voor Dell clientplatforms: Dell Update Packages (DUP) Framework-bestandsversies ouder dan 3.8.3.67.
  • Voor Dell EMC servers:
    • Netwerk- en Fibre Channel-drivers: Dell Update Package (DUP) Framework-bestandsversies vóór 103.4.6.69
    • Alle andere drivers, BIOS en firmware: Dell Update Package (DUP) Framework-bestandsversies vóór 19.1.0.413

Herstel:

De volgende Dell Update Package (DUP) frameworks bevatten een oplossing voor het beveiligingslek:

 

  • Dell clientplatforms:  Dell Update Package (DUP) framework-bestand versie 3.8.3.67 of hoger
  • Dell EMC servers – Netwerk- en Fibre Channel-drivers: Dell Update Package (DUP) Framework-bestand versie 103.4.6.69 of hoger
  • Dell EMC servers - alle andere drivers, BIOS en firmware:  Dell Update Package (DUP) framework file versies 19.1.0.413 of hoger

 

Als u de versie van het DUP Framework-bestand wilt controleren, klikt u met de rechtermuisknop op het DUP-bestand, selecteert u Eigenschappen en klikt u op het tabblad Details om het versienummer van het bestand te vinden.

 

Klanten moeten bij het updaten van hun systemen de nieuwste DUP gebruiken die beschikbaar is bij Dell Support. Klanten hoeven DUP's niet te downloaden en opnieuw uit te voeren als het systeem al beschikt over de meest recente BIOS-, firmware- of driverinhoud.     

 

Dell raadt ook aan om DUP-softwarepakketten uit te voeren vanaf een beveiligde locatie, een locatie die beheerdersrechten vereist om toegang te krijgen als best practice.

 

Dell raadt klanten aan de best practices voor beveiliging tegen malware te volgen. Klanten moeten beveiligingssoftware gebruiken om zich te beschermen tegen malware (geavanceerde antivirussoftware of antivirus).

Acknowledgements

Dell wil graag Pierre-Alexandre Braeken, Silas Cutler en Eran Shimony bedanken voor het melden van dit probleem.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.