DSA-2019-065:Dell Update 套件 (DUP) 架構不受控制的搜尋路徑漏洞

Summary: 請參閱 DSA-2019-065 和 CVE-2019-3726 的相關資訊,又稱為 Dell Update 套件 (DUP) 架構不受控制搜尋路徑漏洞。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Medium

Details

Dell Update Package (DUP) 架構已經更新,以因應可能被惡意攻擊來入侵系統的漏洞。

 

A (DUP) 是採用標準套裝格式的獨立可執行檔,可更新系統上的單一軟體/韌體元素。  DUP 包含兩部分:

  1. 為應用有效負載提供一致介面的框架
  2. 韌體/BIOS/驅動程式的裝載

 

如需 DUP 的詳細資訊,請參閱 DELL EMC Update 套件 (DUP)。

不受控制的搜尋路徑漏洞 (CVE-2019-3726)

 

不受控制的搜尋路徑漏洞適用於以下內容:

  • Dell EMC 伺服器使用的 Dell Update Package (DUP) Framework 檔案版本早於 19.1.0.413,以及低於 103.4.6.69 的 Framework 檔案版本。
  • 在 Dell 用戶端平台中使用的 3.8.3.67 之前的 Dell Update 套件 (DUP) 架構檔案版本。 

 

在系統管理員執行 DUP 的時間範圍內,此漏洞僅限於 DUP 架構。在這段時間內,經過本機驗證的低權限惡意使用者可能會利用此漏洞,誘騙系統管理員執行受信任的二進位檔案,使其載入惡意 DLL,並允許攻擊者在受害系統上執行任意程式碼。此漏洞不會影響 DUP 提供的實際二進位裝載。

CVSSv3 基本分數:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

不受控制的搜尋路徑漏洞 (CVE-2019-3726)

 

不受控制的搜尋路徑漏洞適用於以下內容:

  • Dell EMC 伺服器使用的 Dell Update Package (DUP) Framework 檔案版本早於 19.1.0.413,以及低於 103.4.6.69 的 Framework 檔案版本。
  • 在 Dell 用戶端平台中使用的 3.8.3.67 之前的 Dell Update 套件 (DUP) 架構檔案版本。 

 

在系統管理員執行 DUP 的時間範圍內,此漏洞僅限於 DUP 架構。在這段時間內,經過本機驗證的低權限惡意使用者可能會利用此漏洞,誘騙系統管理員執行受信任的二進位檔案,使其載入惡意 DLL,並允許攻擊者在受害系統上執行任意程式碼。此漏洞不會影響 DUP 提供的實際二進位裝載。

CVSSv3 基本分數:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

受影響的產品:

 

  • 若為 Dell 用戶端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 檔案版本。
  • 如需 Dell EMC 伺服器:
    • 網路和光纖通道驅動程式:103.4.6.69 之前的 Dell Update Package (DUP) Framework 檔案版本
    • 所有其他驅動程式、BIOS 和韌體:19.1.0.413 之前的 Dell Update Package (DUP) 架構檔案版本

補救措施:

下列 Dell Update 套件 (DUP) 架構包含漏洞的補救措施:

 

  • Dell 用戶端平台:  Dell Update Package (DUP) Framework 檔案版本 3.8.3.67 或更新版本
  • Dell EMC 伺服器 – 網路和光纖通道驅動程式:Dell Update Package (DUP) Framework 檔案版本 103.4.6.69 或更新版本
  • Dell EMC 伺服器 – 所有其他驅動程式、BIOS 和韌體:  Dell Update Package (DUP) 架構檔案版本 19.1.0.413 或更新版本

 

若要檢查 DUP Framework 檔案版本,請在 DUP 檔案上按一下滑鼠右鍵,選取內容,然後按一下詳細資料標籤,以尋找檔案版本號碼。

 

客戶更新系統時,應使用 Dell 支援提供的最新 DUP。如果系統已在執行最新的 BIOS、韌體或驅動程式內容,則客戶不需要下載並重新執行 DUP。     

 

Dell 也建議您在受保護的位置執行 DUP 套件,此位置需要管理員權限才能存取,此位置的最佳做法為最佳實務。

 

Dell 建議客戶遵循安全性最佳實務,保護惡意軟體。客戶應使用安全性軟體來協助防範惡意軟體 (進階威脅預防軟體或防毒軟體)。

受影響的產品:

 

  • 若為 Dell 用戶端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 檔案版本。
  • 如需 Dell EMC 伺服器:
    • 網路和光纖通道驅動程式:103.4.6.69 之前的 Dell Update Package (DUP) Framework 檔案版本
    • 所有其他驅動程式、BIOS 和韌體:19.1.0.413 之前的 Dell Update Package (DUP) 架構檔案版本

補救措施:

下列 Dell Update 套件 (DUP) 架構包含漏洞的補救措施:

 

  • Dell 用戶端平台:  Dell Update Package (DUP) Framework 檔案版本 3.8.3.67 或更新版本
  • Dell EMC 伺服器 – 網路和光纖通道驅動程式:Dell Update Package (DUP) Framework 檔案版本 103.4.6.69 或更新版本
  • Dell EMC 伺服器 – 所有其他驅動程式、BIOS 和韌體:  Dell Update Package (DUP) 架構檔案版本 19.1.0.413 或更新版本

 

若要檢查 DUP Framework 檔案版本,請在 DUP 檔案上按一下滑鼠右鍵,選取內容,然後按一下詳細資料標籤,以尋找檔案版本號碼。

 

客戶更新系統時,應使用 Dell 支援提供的最新 DUP。如果系統已在執行最新的 BIOS、韌體或驅動程式內容,則客戶不需要下載並重新執行 DUP。     

 

Dell 也建議您在受保護的位置執行 DUP 套件,此位置需要管理員權限才能存取,此位置的最佳做法為最佳實務。

 

Dell 建議客戶遵循安全性最佳實務,保護惡意軟體。客戶應使用安全性軟體來協助防範惡意軟體 (進階威脅預防軟體或防毒軟體)。

Acknowledgements

Dell 感謝 Pierre-Alexandre Braeken、Silas Cutler 和 Eran Shimony 報告此問題。

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Article Properties
Article Number: 000137022
Article Type: Dell Security Advisory
Last Modified: 18 Aug 2025
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.