DSA-2019-065: Luka w zabezpieczeniach pakietu Dell Update Package (DUP) Framework dotycząca niekontrolowanej ścieżki wyszukiwania
Summary: Należy zapoznać się z informacjami na temat luki w zabezpieczeniach DSA-2019-065 i CVE-2019-3726, znanej również jako luka w zabezpieczeniach pakietu Dell Update Package (DUP) Uncontrolled Search Path. ...
Impact
Medium
Details
Struktura pakietu Dell Update Package (DUP) została zaktualizowana w celu wyeliminowania luki, która może zostać wykorzystana w celu naruszenia integralności systemu.
Plik DUP (DUP) jest niezależnym plikiem wykonywalnym w standardowym formacie pakietu, który aktualizuje pojedynczy element oprogramowania/oprogramowania wewnętrznego w systemie. Pakiet DUP składa się z dwóch części:
- Struktury zapewniającej jednolity interfejs do stosowania obciążeń
- Obciążenie – oprogramowanie sprzętowe / BIOS / sterowniki
Aby uzyskać więcej informacji na temat pakietów DUP, zobacz Pakiet DELL EMC Update (DUP).
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Affected Products & Remediation
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Acknowledgements
Firma Dell pragnie podziękować Pierre'owi-Alexandre'owi Braekenowi, Silasowi Cutlerowi i Eranowi Shimony'emu za zgłoszenie tego problemu.