ДСА-2019-065: Уразливість неконтрольованого шляху пошуку Dell Update Package (DUP) Framework

Riepilogo: Зверніться до інформації про вразливість DSA-2019-065 і CVE-2019-3726, також відому як уразливість неконтрольованого шляху пошуку Dell Update Package (DUP) Framework.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Impatto

Medium

Dettagli

Фреймворк Dell Update Package (DUP) було оновлено для усунення вразливості, яка потенційно може бути використана для компрометації системи.

 

A (DUP) — це самодостатній виконуваний файл у стандартному форматі пакета, який оновлює один елемент програмного забезпечення/мікропрограми в системі.  ДЮП складається з двох частин:

  1. Фреймворк, що забезпечує узгоджений інтерфейс для застосування корисних навантажень
  2. Корисне навантаження, яке є мікропрограмою/BIOS/драйверами

 

Щоб отримати докладнішу інформацію про DUP, перегляньте статтю DELL EMC Update Package (DUP) .

Уразливість неконтрольованого шляху пошуку (CVE-2019-3726)

 

Уразливість неконтрольованого шляху пошуку застосовується до наступного:

  • Версії файлів Dell Update Package (DUP) до 19.1.0.413 і версії файлів Framework до 103.4.6.69, які використовуються на серверах Dell EMC.
  • Версії файлів фреймворку Dell Update Package (DUP) до 3.8.3.67, що використовуються на клієнтських платформах Dell. 

 

Вразливість обмежена фреймворком DUP під час часового вікна, коли DUP виконується адміністратором. Протягом цього періоду часу зловмисник із локальною автентифікацією з низькими привілеями потенційно може скористатися цією вразливістю, обманом змусивши адміністратора запустити довірений двійковий файл, змусивши його завантажити шкідливу бібліотеку DLL і дозволити зловмиснику виконати довільний код у системі-жертві. Уразливість не впливає на фактичне двійкове корисне навантаження, яке надає DUP.

Базова оцінка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Уразливість неконтрольованого шляху пошуку (CVE-2019-3726)

 

Уразливість неконтрольованого шляху пошуку застосовується до наступного:

  • Версії файлів Dell Update Package (DUP) до 19.1.0.413 і версії файлів Framework до 103.4.6.69, які використовуються на серверах Dell EMC.
  • Версії файлів фреймворку Dell Update Package (DUP) до 3.8.3.67, що використовуються на клієнтських платформах Dell. 

 

Вразливість обмежена фреймворком DUP під час часового вікна, коли DUP виконується адміністратором. Протягом цього періоду часу зловмисник із локальною автентифікацією з низькими привілеями потенційно може скористатися цією вразливістю, обманом змусивши адміністратора запустити довірений двійковий файл, змусивши його завантажити шкідливу бібліотеку DLL і дозволити зловмиснику виконати довільний код у системі-жертві. Уразливість не впливає на фактичне двійкове корисне навантаження, яке надає DUP.

Базова оцінка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies raccomanda a tutti i clienti di prendere in considerazione sia il punteggio base CVSS, sia ogni eventuale punteggio temporale o ambientale che possa avere effetti sul livello di gravità potenziale associato a una specifica vulnerabilità di sicurezza.

Prodotti interessati e correzione

Продукти, на які вплинули:

 

  • Для клієнтських платформ Dell: Версії файлів фреймворку Dell Update Packages (DUP) до 3.8.3.67.
  • Для серверів Dell EMC:
    • Драйвери мережі та оптоволоконного каналу: Версії файлів фреймворку Dell Update Package (DUP) до 103.4.6.69
    • Всі інші драйвери, BIOS і прошивка: Версії файлів фреймворку Dell Update Package (DUP) до 19.1.0.413

Усунення:

Наведені нижче фреймворки Dell Update Package (DUP) містять виправлення вразливості:

 

  • Клієнтські платформи Dell:  Файл фреймворку Dell Update Package (DUP) версії 3.8.3.67 або новішої
  • Сервери Dell EMC – драйвери для мереж і оптоволоконних каналів: Фреймворк Dell Update Package (DUP) версії 103.4.6.69 або новішої
  • Сервери Dell EMC – всі інші драйвери, BIOS і прошивки:  Версія файлу фреймворку Dell Update Package (DUP) 19.1.0.413 або новіша

 

Щоб перевірити версію файлу DUP Framework, клацніть правою кнопкою миші файл DUP, виберіть «Властивості» та перейдіть на вкладку «Подробиці», щоб знайти номер версії файлу.

 

Під час оновлення своїх систем клієнти повинні використовувати найновішу версію DUP, доступну в службі підтримки Dell. Клієнтам не потрібно завантажувати та перезапускати DUP, якщо система вже працює під керуванням останньої версії BIOS, прошивки або вмісту драйверів.     

 

Dell також рекомендує виконувати програмні пакети DUP із захищеного місця, для доступу до якого потрібні адміністративні привілеї як найкраща практика.

 

Dell рекомендує клієнтам дотримуватися найкращих практик безпеки для захисту від шкідливого програмного забезпечення. Клієнти мають використовувати захисне програмне забезпечення для захисту від зловмисного програмного забезпечення (розширене програмне забезпечення для запобігання загрозам або антивірус).

Продукти, на які вплинули:

 

  • Для клієнтських платформ Dell: Версії файлів фреймворку Dell Update Packages (DUP) до 3.8.3.67.
  • Для серверів Dell EMC:
    • Драйвери мережі та оптоволоконного каналу: Версії файлів фреймворку Dell Update Package (DUP) до 103.4.6.69
    • Всі інші драйвери, BIOS і прошивка: Версії файлів фреймворку Dell Update Package (DUP) до 19.1.0.413

Усунення:

Наведені нижче фреймворки Dell Update Package (DUP) містять виправлення вразливості:

 

  • Клієнтські платформи Dell:  Файл фреймворку Dell Update Package (DUP) версії 3.8.3.67 або новішої
  • Сервери Dell EMC – драйвери для мереж і оптоволоконних каналів: Фреймворк Dell Update Package (DUP) версії 103.4.6.69 або новішої
  • Сервери Dell EMC – всі інші драйвери, BIOS і прошивки:  Версія файлу фреймворку Dell Update Package (DUP) 19.1.0.413 або новіша

 

Щоб перевірити версію файлу DUP Framework, клацніть правою кнопкою миші файл DUP, виберіть «Властивості» та перейдіть на вкладку «Подробиці», щоб знайти номер версії файлу.

 

Під час оновлення своїх систем клієнти повинні використовувати найновішу версію DUP, доступну в службі підтримки Dell. Клієнтам не потрібно завантажувати та перезапускати DUP, якщо система вже працює під керуванням останньої версії BIOS, прошивки або вмісту драйверів.     

 

Dell також рекомендує виконувати програмні пакети DUP із захищеного місця, для доступу до якого потрібні адміністративні привілеї як найкраща практика.

 

Dell рекомендує клієнтам дотримуватися найкращих практик безпеки для захисту від шкідливого програмного забезпечення. Клієнти мають використовувати захисне програмне забезпечення для захисту від зловмисного програмного забезпечення (розширене програмне забезпечення для запобігання загрозам або антивірус).

Ringraziamenti

Dell висловлює подяку П'єру-Александру Брекену, Сайласу Катлеру та Ерану Шимоні за висвітлення цієї проблеми.

Informazioni correlate

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Dichiarazione di non responsabilità

Prodotti interessati

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Proprietà dell'articolo
Numero articolo: 000137022
Tipo di articolo: Dell Security Advisory
Ultima modifica: 18 ago 2025
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.