DSA ID:DSA-2019-074
CVE ID:CVE-2019-3722、CVE-2019-3723
重要度:重大
重要度評価:各CVEの個別のCVSSスコアの下の詳細セクションを参照してください。
対象製品:
- 9.1.0.3より前のバージョンのDell EMC OpenManage Server Administrator(OMSA)
- 9.2.0.4より前のバージョンのDell EMC OpenManage Server Administrator(OMSA)
概要:
Dell EMC OpenManage System Administratorは、システムを侵害する目的で悪用される可能性のある複数のセキュリティ脆弱性に対処するためにアップデートされました。
詳細:
- XML External Entity(XXE)攻撃の脆弱性(CVE-2019-3722)
9.1.0.3より前のバージョンおよび9.2.0.4より前のバージョンのDell EMC OpenManage Server Administrator(OMSA)には、XML External Entity(XXE)攻撃の脆弱性が存在します。リモートの認証されていない攻撃者が、この脆弱性を悪用して、XMLリクエストで特別な細工をしたドキュメント タイプ定義(DTD)を提供することにより、任意のサーバー システム ファイルを読み取る可能性があります。
CVSSv3基本スコア7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Webパラメーター改ざんの脆弱性(CVE-2019-3723)
9.1.0.3より前のバージョンおよび9.2.0.4より前のバージョンのDell EMC OpenManage Server Administrator(OMSA)には、Webパラメーター改ざんの脆弱性が含まれています。リモートの認証されていない攻撃者が、不正な入力パラメーターの検証により、OMSAへのWebリクエストのパラメーターを改ざんして、空のコンテンツを含む任意のファイルを作成したり、既存ファイルの内容を削除したりする可能性があります。
CVSSv3基本スコア9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
解決方法:
次のDell EMC OpenManage Server Administratorリリースでは、これらの脆弱性に対する解決策が含まれています。
- Dell EMC OpenManage Server Administrator 9.1.0.3以降
- Dell EMC OpenManage Server Administrator 9.2.0.4以降
- Dell EMC OpenManage Server Administrator 9.3.0以降
Dell EMCではすべてのお客様に対して、可能な限り早急にアップグレードすることを推奨しています。
修正プログラムへのリンク:
お客様は、
PowerEdgeサーバーのOpenManage Server Administratorをダウンロードできます。他のすべてのプラットフォームについては、
Dellサポート サイトからプラットフォームを選択してください。
デルは、すべてのユーザーが個々の状況に対してこの情報が当てはまるかどうかを判断し、適切な措置を講じることを推奨しています。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。デルは、市販性、特定目的への適合性、権原、および非侵害の保証を含む、明示的か黙示的かを問わず、すべての保証を放棄します。デルとそのサプライヤーは、当該損害の可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。