DSA-ID: DSA-2019-074
CVE-Kennung: CVE-2019-3722 und CVE-2019-3723
Schweregrad: "critical" (kritisch)
Schweregradbewertung: Einzelne CVSS-Bewertungen für jede CVE finden Sie im Abschnitt „Details“ unten.
Betroffene Produkte:
- Dell EMC OpenManage Server Administrator (OMSA) – Versionen vor 9.1.0.3
- Dell EMC OpenManage Server Administrator (OMSA) – Versionen vor 9.2.0.4
Zusammenfassung:
Dell EMC OpenManage System Administrator wurde aktualisiert, um mehrere Sicherheitslücken zu beheben, die potenziell genutzt werden können, um das System zu gefährden.
Details:
- Sicherheitslücke durch Injektion von XML External Entity (XXE) (CVE-2019-3722)
Dell EMC OpenManage Server Administrator (OMSA) in den Versionen vor 9.1.0.3 und vor 9.2.0.4 enthalten eine Sicherheitslücke durch Injektion von XML External Entity (XXE). Ein nicht authentifizierter Remote-Angreifer kann diese Sicherheitslücke ausnutzen, um beliebige Serversystemdateien zu lesen, indem er speziell gestaltete Dokumenttypdefinitionen (DTDs) in einer XML-Anforderung bereitstellt.
CVSSv3 Basisbewertung 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Sicherheitslücke durch Manipulation von Webparametern (CVE-2019-3723)
Dell EMC OpenManage Server Administrator (OMSA) in den Versionen vor 9.1.0.3 und 9.2.0.4 enthalten eine Sicherheitslücke durch Manipulation von Webparametern. Ein nicht authentifizierter Remote-Angreifer kann möglicherweise die Parameter von Webanfragen an OMSA manipulieren, um beliebige Dateien mit leerem Inhalt zu erstellen oder den Inhalt einer vorhandenen Datei zu löschen, da die Eingabeparameter nicht ordnungsgemäß überprüft wurden.
CVSSv3 Basisbewertung 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Lösung:
In den folgenden Versionen von Dell EMC OpenManage Server Administrator würden diese Lücken geschlossen:
- Dell EMC OpenManage Server Administrator ab Version 9.1.0.3
- Dell EMC OpenManage Server Administrator ab Version 9.2.0.4
- Dell EMC OpenManage Server Administrator ab Version 9.3.0
Dell EMC empfiehlt allen Kunden, bei der nächsten Gelegenheit ein Upgrade durchzuführen.
Link zu den empfohlenen Maßnahmen:
Kunden können OpenManage Server Administrator für
PowerEdge-Serverherunterladen. Für alle anderen Plattformen wählen Sie die Plattform von der
Dell Support-Website aus.
Dell empfiehlt allen Benutzern, die Anwendbarkeit dieser Informationen in der individuellen Situation zu überprüfen und entsprechende Maßnahmen zu ergreifen. Die hier festgelegte Information werden „wie besehen“ bereit gestellt, ohne jegliche Gewährleistung. Dell übernimmt keinerlei Gewährleistungen, ob in ausdrücklicher oder implizierter Form, einschließlich Gewährleistungen der Handelsüblichkeit, der Eignung für einen bestimmten Zweck, des Rechtsanspruches und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.