DSA-2019-065: Sicherheitslücke durch unkontrollierten Suchpfad im Dell Update Package (DUP)-Framework

Summary: Weitere Informationen finden Sie in den Informationen zu DSA-2019-065 und CVE-2019-3726, auch bekannt als Sicherheitslücke im Dell Update Package (DUP) Framework.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Das Dell Update Package (DUP) Framework wurde aktualisiert, um eine Sicherheitslücke zu schließen, die potenziell ausgenutzt werden kann, um das System zu gefährden.

 

Ein (DUP) ist eine eigenständige ausführbare Datei in einem Standardpaketformat, die ein einzelnes Software-/Firmwareelement auf dem System aktualisiert.  Ein DUP besteht aus zwei Teilen:

  1. Ein Framework, das eine konsistente Schnittstelle zum Anwenden von Payloads bietet.
  2. Die Payloads der Firmware/BIOS/Treiber

 

Weitere Informationen zu DUPs finden Sie unter DELL EMC Update Package (DUP) .

Sicherheitslücke durch unkontrollierten Suchpfad (CVE-2019-3726)

 

Eine Sicherheitslücke durch unkontrollierten Suchpfad gilt für Folgendes:

  • Dell Update Package (DUP) Framework-Dateiversionen vor 19.1.0.413 und Framework-Dateiversionen vor 103.4.6.69, die in Dell EMC Servern verwendet werden.
  • Dell Update Package (DUP) Framework-Dateiversionen vor 3.8.3.67, die auf Dell Client-Plattformen verwendet werden. 

 

Die Schwachstelle beschränkt sich auf das DUP-Framework während des Zeitfensters, in dem ein DUP von einem Administrator ausgeführt wird. In diesem Zeitfenster kann ein lokal authentifizierter bösartiger Benutzer mit geringen Berechtigungen diese Sicherheitsanfälligkeit ausnutzen, indem er einen Administrator dazu verleitet, eine vertrauenswürdige Binärdatei auszuführen, wodurch eine schädliche DLL geladen wird und der Angreifer beliebigen Code auf dem Opfersystem ausführen kann. Die Sicherheitslücke wirkt sich nicht auf die tatsächliche binäre Payload aus, die das DUP bereitstellt.

CVSSv3-Basisbewertung: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Sicherheitslücke durch unkontrollierten Suchpfad (CVE-2019-3726)

 

Eine Sicherheitslücke durch unkontrollierten Suchpfad gilt für Folgendes:

  • Dell Update Package (DUP) Framework-Dateiversionen vor 19.1.0.413 und Framework-Dateiversionen vor 103.4.6.69, die in Dell EMC Servern verwendet werden.
  • Dell Update Package (DUP) Framework-Dateiversionen vor 3.8.3.67, die auf Dell Client-Plattformen verwendet werden. 

 

Die Schwachstelle beschränkt sich auf das DUP-Framework während des Zeitfensters, in dem ein DUP von einem Administrator ausgeführt wird. In diesem Zeitfenster kann ein lokal authentifizierter bösartiger Benutzer mit geringen Berechtigungen diese Sicherheitsanfälligkeit ausnutzen, indem er einen Administrator dazu verleitet, eine vertrauenswürdige Binärdatei auszuführen, wodurch eine schädliche DLL geladen wird und der Angreifer beliebigen Code auf dem Opfersystem ausführen kann. Die Sicherheitslücke wirkt sich nicht auf die tatsächliche binäre Payload aus, die das DUP bereitstellt.

CVSSv3-Basisbewertung: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Betroffene Produkte:

 

  • Für Dell Client-Plattformen: Versionen von Dell Update Packages (DUP) Framework-Dateien vor 3.8.3.67.
  • Für Dell EMC Server:
    • Netzwerk- und Fibre-Channel-Treiber: Versionen von Dell Update Package (DUP)-Framework-Dateien vor 103.4.6.69
    • Alle anderen Treiber, BIOS und Firmware: Versionen von Dell Update Package (DUP) Framework-Dateien vor 19.1.0.413

Wiederherstellung:

Die folgenden Dell Update Package (DUP)-Frameworks enthalten eine Behebung der Sicherheitslücke:

 

  • Dell Client-Plattformen:  Dell Update Package (DUP) Framework-Dateiversion 3.8.3.67 oder höher
  • Dell EMC Server – Netzwerk- und Fibre-Channel-Treiber: Dell Update Package (DUP) Framework-Dateiversion 103.4.6.69 oder höher
  • Dell EMC Server – alle anderen Treiber, BIOS und Firmware:  Version 19.1.0.413 oder höher der Dell Update Package (DUP)-Framework-Datei

 

Um die DUP-Framework-Dateiversion zu überprüfen, klicken Sie mit der rechten Maustaste auf die DUP-Datei, wählen Sie Eigenschaften aus und klicken Sie auf die Registerkarte Details, um die Versionsnummer der Datei zu suchen.

 

Kunden sollten das neueste DUP verwenden, das beim Dell Support verfügbar ist, wenn sie ihre Systeme aktualisieren. Kunden müssen keine DUPs herunterladen und erneut ausführen, wenn auf dem System bereits die neuesten BIOS-, Firmware- oder Treiberinhalte ausgeführt werden.     

 

Dell empfiehlt außerdem, DUP-Softwarepakete von einem geschützten Speicherort auszuführen, für den Administratorrechte erforderlich sind.

 

Dell empfiehlt Kunden, die Best Practices für die Sicherheit zum Schutz vor Malware zu befolgen. Kunden sollten Sicherheitssoftware zum Schutz vor Malware verwenden (Advanced Threat Prevention Software oder Antivirenprogramme).

Betroffene Produkte:

 

  • Für Dell Client-Plattformen: Versionen von Dell Update Packages (DUP) Framework-Dateien vor 3.8.3.67.
  • Für Dell EMC Server:
    • Netzwerk- und Fibre-Channel-Treiber: Versionen von Dell Update Package (DUP)-Framework-Dateien vor 103.4.6.69
    • Alle anderen Treiber, BIOS und Firmware: Versionen von Dell Update Package (DUP) Framework-Dateien vor 19.1.0.413

Wiederherstellung:

Die folgenden Dell Update Package (DUP)-Frameworks enthalten eine Behebung der Sicherheitslücke:

 

  • Dell Client-Plattformen:  Dell Update Package (DUP) Framework-Dateiversion 3.8.3.67 oder höher
  • Dell EMC Server – Netzwerk- und Fibre-Channel-Treiber: Dell Update Package (DUP) Framework-Dateiversion 103.4.6.69 oder höher
  • Dell EMC Server – alle anderen Treiber, BIOS und Firmware:  Version 19.1.0.413 oder höher der Dell Update Package (DUP)-Framework-Datei

 

Um die DUP-Framework-Dateiversion zu überprüfen, klicken Sie mit der rechten Maustaste auf die DUP-Datei, wählen Sie Eigenschaften aus und klicken Sie auf die Registerkarte Details, um die Versionsnummer der Datei zu suchen.

 

Kunden sollten das neueste DUP verwenden, das beim Dell Support verfügbar ist, wenn sie ihre Systeme aktualisieren. Kunden müssen keine DUPs herunterladen und erneut ausführen, wenn auf dem System bereits die neuesten BIOS-, Firmware- oder Treiberinhalte ausgeführt werden.     

 

Dell empfiehlt außerdem, DUP-Softwarepakete von einem geschützten Speicherort auszuführen, für den Administratorrechte erforderlich sind.

 

Dell empfiehlt Kunden, die Best Practices für die Sicherheit zum Schutz vor Malware zu befolgen. Kunden sollten Sicherheitssoftware zum Schutz vor Malware verwenden (Advanced Threat Prevention Software oder Antivirenprogramme).

Acknowledgements

Dell bedankt sich bei Pierre-Alexandre Braeken, Silas Cutler und Eran Shimony für die Meldung dieses Problems.

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.