DSA ID: DSA-2019-074
Codice identificativo CVE: CVE-2019-3722 e CVE-2019-3723
Livello di gravità: critico
Valutazione del livello di gravità: vedere di seguito la sezione Dettagli dei singoli punteggi CVSS per ogni CVE
Prodotti interessati:
- Dell EMC OpenManage Server Administrator (OMSA) versioni precedenti alla 9.1.0.3
- Dell EMC OpenManage Server Administrator (OMSA) versioni precedenti alla 9.2.0.4
Riepilogo
Dell EMC OpenManage System Administrator è stato aggiornato per risolvere più vulnerabilità di sicurezza che potrebbero essere sfruttate per compromettere il sistema.
Dettagli:
- Vulnerabilità di iniezione di XXE (XML External Entity) (CVE-2019-3722)
Le versioni di Dell EMC OpenManage Server Administrator (OMSA) precedenti alla 9.1.0.3 e alla 9.2.0.4 contengono una vulnerabilità di iniezione di XXE (XML External Entity). Un malintenzionato non autenticato in remoto potrebbe potenzialmente sfruttare questa vulnerabilità per leggere file di sistema del server arbitrari fornendo le definizioni DTD (Document Type Definitions) create appositamente in una richiesta XML.
Punteggio base CVSSv3 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Vulnerabilità di manomissione del parametro Web (CVE-2019-3723)
Le versioni di Dell EMC OpenManage Server Administrator (OMSA) precedenti alla 9.1.0.3 e alla 9.2.0.4 contengono una vulnerabilità di manomissione del parametro web. Un malintenzionato in remoto non autenticato potrebbe potenzialmente manipolare i parametri delle richieste web a OMSA per creare file arbitrari con contenuto vuoto o eliminare il contenuto di qualsiasi file esistente, a causa della convalida dei parametri di input non corretta.
Punteggio base CVSSv3 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Risoluzione:
Le seguenti release di Dell EMC OpenManage Server Administrator contengono le risoluzioni per queste vulnerabilità:
- Dell EMC OpenManage Server Administrator 9.1.0.3 e versioni successive
- Dell EMC OpenManage Server Administrator 9.2.0.4 e versioni successive
- Dell EMC OpenManage Server Administrator 9.3.0 e versioni successive
Dell EMC consiglia a tutti i clienti di effettuare l'aggiornamento il più presto possibile.
Collegamento alle soluzioni:
I clienti possono scaricare OpenManage Server Administrator per i
server PowerEdge. Per tutte le altre piattaforme, selezionare la piattaforma nel
sito del supporto Dell.
Dell consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell declina tutte le garanzie espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.