Número de artículo: 000147397


DSA-2019-051: Dell SupportAssist Client Multiple Vulnerabilities

Resumen: Dell SupportAssist Client has been updated to address multiple vulnerabilities which may be potentially exploited to compromise the system.

Contenido del artículo


Impacto

High

Detalles

Improper Origin Validation (CVE-2019-3718)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain an improper origin validation vulnerability.    An unauthenticated remote attacker could potentially exploit this vulnerability to attempt CSRF attacks on users of the impacted systems.

CVSSv3 Base Score: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Remote Code Execution Vulnerability (CVE-2019-3719)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain a remote code execution vulnerability. An unauthenticated attacker, sharing the network access layer with the vulnerable system, can compromise the vulnerable system by tricking a victim user into downloading and executing arbitrary executables via SupportAssist client from attacker hosted sites.

CVSSv3 Base Score: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Improper Origin Validation (CVE-2019-3718)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain an improper origin validation vulnerability.    An unauthenticated remote attacker could potentially exploit this vulnerability to attempt CSRF attacks on users of the impacted systems.

CVSSv3 Base Score: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)

 

Remote Code Execution Vulnerability (CVE-2019-3719)

 

Dell SupportAssist Client versions prior to 3.2.0.90 contain a remote code execution vulnerability. An unauthenticated attacker, sharing the network access layer with the vulnerable system, can compromise the vulnerable system by tricking a victim user into downloading and executing arbitrary executables via SupportAssist client from attacker hosted sites.

CVSSv3 Base Score: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies recomienda que todos los clientes tengan en cuenta la puntuación base CVSS y las puntuaciones temporales o de entorno relevantes que puedan afectar a la posible gravedad asociada a una determinada vulnerabilidad de seguridad.

Productos afectados y corrección

Affected products:

Dell SupportAssist Client versions prior to 3.2.0.90.


Remediation:
The following Dell SupportAssist Client release contains resolutions to these vulnerabilities:

  • Dell SupportAssist Client version 3.2.0.90 and later.

Dell recommends all customers upgrade at the earliest opportunity.

Customers can download software from https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

Affected products:

Dell SupportAssist Client versions prior to 3.2.0.90.


Remediation:
The following Dell SupportAssist Client release contains resolutions to these vulnerabilities:

  • Dell SupportAssist Client version 3.2.0.90 and later.

Dell recommends all customers upgrade at the earliest opportunity.

Customers can download software from https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe.

Agradecimientos

Dell would like to thank John C. Hennessy-ReCar for reporting CVE-2019-3718 and Bill Demirkapi for reporting CVE-2019-3719.

 

Información relacionada

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide


La información que se recoge en esta asesoría de seguridad de Dell Technologies es de vital importancia para ayudar a evitar ciertas situaciones que pueden surgir a partir de los problemas que se describen en el documento. Dell Technologies distribuye las asesorías de seguridad para ofrecer información importante relacionada con la seguridad a los usuarios que poseen productos afectados. Dell Technologies evalúa el riesgo en función de la media de riesgos en una gran variedad de sistemas instalados. Esto no representa el riesgo real en la instalación local ni en cada entorno. Se recomienda que todos los usuarios determinen la validez de esta información para sus entornos y que tomen las medidas correspondientes. La información que se indica en el presente documento se proporciona "tal cual", sin garantía de ningún tipo. Dell Technologies renuncia expresamente cualquier garantía explícita o implícita, incluidas las garantías de comerciabilidad, capacidad para un propósito determinado, titularidad y no infracción. En ninguna circunstancia Dell Technologies, sus filiales o proveedores, se hacen responsables de los daños derivados de la información que se recoge aquí o de las acciones que lleva a cabo según esta información, lo que incluye daños directos, indirectos, contingentes, consiguientes, especiales o por pérdida de beneficios, incluso cuando Dell Technologies, sus filiales o proveedores informan de la posibilidad de que se produzcan estos daños. Algunos estados no admiten la exclusión o la limitación de responsabilidad por daños contingentes o consiguientes, por lo que la citada limitación se aplica hasta donde lo permita la ley.

Propiedades del artículo


Producto afectado

SupportAssist for Home PCs, SupportAssist for Business PCs

Fecha de la última publicación

21 feb. 2021

Versión

4

Tipo de artículo

Dell Security Advisory

Valorar este artículo


Acertado
Útil
Fácil de entender
¿Le ha resultado útil este artículo?

0/3000 caracteres