ID do DSA: DSA-2019-074
Identificador do CVE: CVE-2019-3722 e CVE-2019-3723
Gravidade: crítica
Classificação de gravidade: consulte a seção Detalhes, abaixo das pontuações de CVSS individuais para cada CVE
Produtos afetados:
- Dell EMC OpenManage Server Administrator (OMSA), versões anteriores à 9.1.0.3
- Dell EMC OpenManage Server Administrator (OMSA), versões anteriores à 9.2.0.4
Resumo:
O Dell EMC OpenManage System Administrator atualizado para lidar com várias vulnerabilidades segurança que podem ser exploradas para comprometer o sistema.
Detalhes:
- Vulnerabilidade de injeção de entidade externa XML (XXE) (CVE-2019-3722)
O Dell EMC OpenManage Server Administrator (OMSA) nas versões anteriores à 9.1.0.3 e à 9.2.0.4 contém uma vulnerabilidade de injeção de entidade externa XML (XXE). Um invasor remoto não autenticado pode explorar essa vulnerabilidade para ler arquivos arbitrários do sistema de servidores, fornecendo definições de tipo de documento (DTDs) especialmente criadas em uma solicitação XML.
Pontuação de base do CVSSv3: 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Vulnerabilidade de adulteração de parâmetros da Web (CVE-2019-3723)
O Dell EMC OpenManage Server Administrator (OMSA) nas versões anteriores à 9.1.0.3 e à 9.2.0.4 contém uma vulnerabilidade de adulteração de parâmetros da Web. Um invasor remoto não autenticado pode manipular parâmetros de solicitações da Web para o OMSA a fim de criar arquivos arbitrários com conteúdo vazio ou excluir o conteúdo de qualquer arquivo existente, devido à validação inadequada de parâmetros de entrada.
Pontuação de base do CVSSv3: 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Resolução:
As versões do Dell EMC OpenManage Server Administrator a seguir contêm resoluções para essas vulnerabilidades:
- Dell EMC OpenManage Server Administrator 9.1.0.3 e posteriores
- Dell EMC OpenManage Server Administrator 9.2.0.4 e posteriores
- Dell EMC OpenManage Server Administrator 9.3.0 e posteriores
A Dell EMC recomenda que todos os clientes façam a atualização o mais rápido possível.
Link para as correções:
Os clientes podem fazer download do OpenManage Server Administrator para
servidores PowerEdge. Para todas as outras plataformas, selecione a plataforma no
site de suporte da Dell.
A Dell recomenda que todos os usuários determinem a aplicabilidade das informações às suas situações individuais e tomem as medidas adequadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.