DSA-2019-065: Vulnerabilidad de ruta de búsqueda no controlada del marco del paquete de actualización de Dell (DUP)

Riepilogo: Consulte la información acerca de DSA-2019-065 y CVE-2019-3726, también conocidos como la vulnerabilidad de ruta de búsqueda no controlada del marco de trabajo de Dell Update Package (DUP). ...

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Impatto

Medium

Dettagli

Se actualizó la infraestructura del Dell Update Package (DUP) para abordar una vulnerabilidad que podría aprovecharse para comprometer el sistema.

 

Un (DUP) es un archivo ejecutable independiente en un formato de paquete estándar que actualiza un único elemento de software/firmware en el sistema.  Un DUP consta de dos partes:

  1. Una infraestructura que proporciona una interfaz coherente para aplicar cargas útiles
  2. La carga útil que es el firmware/BIOS/controladores

 

Para obtener más detalles sobre los DUP, consulte Dell EMC Update Package (DUP).

Vulnerabilidad de ruta de búsqueda no controlada (CVE-2019-3726)

 

Una vulnerabilidad de ruta de búsqueda no controlada se aplica a lo siguiente:

  • Versiones de archivos de Framework de Dell Update Package (DUP) anteriores a 19.1.0.413 y versiones de archivos de Framework anteriores a 103.4.6.69 que se utilizan en servidores Dell EMC.
  • Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 3.8.3.67 que se utilizan en las plataformas de cliente de Dell. 

 

La vulnerabilidad se limita a la infraestructura de DUP durante la ventana de tiempo en que un administrador ejecuta un DUP. Durante esta ventana de tiempo, un usuario malicioso de bajos privilegios autenticado localmente podría aprovechar esta vulnerabilidad engañando a un administrador para que ejecute un binario de confianza, lo que hace que cargue un archivo DLL malicioso y permite que el atacante ejecute código arbitrario en el sistema víctima. La vulnerabilidad no afecta a la carga útil binaria real que entrega el DUP.

Puntaje base de CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilidad de ruta de búsqueda no controlada (CVE-2019-3726)

 

Una vulnerabilidad de ruta de búsqueda no controlada se aplica a lo siguiente:

  • Versiones de archivos de Framework de Dell Update Package (DUP) anteriores a 19.1.0.413 y versiones de archivos de Framework anteriores a 103.4.6.69 que se utilizan en servidores Dell EMC.
  • Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 3.8.3.67 que se utilizan en las plataformas de cliente de Dell. 

 

La vulnerabilidad se limita a la infraestructura de DUP durante la ventana de tiempo en que un administrador ejecuta un DUP. Durante esta ventana de tiempo, un usuario malicioso de bajos privilegios autenticado localmente podría aprovechar esta vulnerabilidad engañando a un administrador para que ejecute un binario de confianza, lo que hace que cargue un archivo DLL malicioso y permite que el atacante ejecute código arbitrario en el sistema víctima. La vulnerabilidad no afecta a la carga útil binaria real que entrega el DUP.

Puntaje base de CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies raccomanda a tutti i clienti di prendere in considerazione sia il punteggio base CVSS, sia ogni eventuale punteggio temporale o ambientale che possa avere effetti sul livello di gravità potenziale associato a una specifica vulnerabilità di sicurezza.

Prodotti interessati e correzione

Productos afectados:

 

  • Para las plataformas de cliente de Dell: Versiones de archivos de Dell Update Packages (DUP) Framework anteriores a 3.8.3.67.
  • Para servidores Dell EMC:
    • Controladores de redes y Fibre Channel: Versiones de archivos de Dell Update Package (DUP) Framework anteriores a 103.4.6.69
    • Todos los demás controladores, BIOS y firmware: Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 19.1.0.413

Corrección:

Las siguientes infraestructuras de Dell Update Package (DUP) contienen una corrección para la vulnerabilidad:

 

  • Plataformas de cliente de Dell:  Archivo de marco de Dell Update Package (DUP) versión 3.8.3.67 o posterior
  • Servidores Dell EMC: controladores de redes y Fibre Channel: Archivo de marco Dell Update Package (DUP) versión 103.4.6.69 o posterior
  • Servidores Dell EMC: todos los demás controladores, BIOS y firmware:  Versión 19.1.0.413 o posterior del archivo de infraestructura Dell Update Package (DUP)

 

Para comprobar la versión del archivo de marco de DUP, haga clic con el botón secundario en el archivo de DUP, seleccione Propiedades y haga clic en la pestaña Detalles para encontrar el número de versión del archivo.

 

Los clientes deben utilizar el último DUP disponible en el soporte de Dell cuando actualicen sus sistemas. Los clientes no necesitan descargar y volver a ejecutar los DUP si el sistema ya está ejecutando el contenido más reciente del BIOS, el firmware o el controlador.     

 

Dell también recomienda ejecutar los paquetes de software DUP desde una ubicación protegida, una que requiera privilegios administrativos para acceder como práctica recomendada.

 

Dell recomienda a los clientes que sigan las prácticas recomendadas de seguridad para la protección contra malware. Los clientes deben utilizar software de seguridad para ayudar a protegerse contra el malware (software de prevención de amenazas avanzadas o antivirus).

Productos afectados:

 

  • Para las plataformas de cliente de Dell: Versiones de archivos de Dell Update Packages (DUP) Framework anteriores a 3.8.3.67.
  • Para servidores Dell EMC:
    • Controladores de redes y Fibre Channel: Versiones de archivos de Dell Update Package (DUP) Framework anteriores a 103.4.6.69
    • Todos los demás controladores, BIOS y firmware: Versiones de archivo de Dell Update Package (DUP) Framework anteriores a 19.1.0.413

Corrección:

Las siguientes infraestructuras de Dell Update Package (DUP) contienen una corrección para la vulnerabilidad:

 

  • Plataformas de cliente de Dell:  Archivo de marco de Dell Update Package (DUP) versión 3.8.3.67 o posterior
  • Servidores Dell EMC: controladores de redes y Fibre Channel: Archivo de marco Dell Update Package (DUP) versión 103.4.6.69 o posterior
  • Servidores Dell EMC: todos los demás controladores, BIOS y firmware:  Versión 19.1.0.413 o posterior del archivo de infraestructura Dell Update Package (DUP)

 

Para comprobar la versión del archivo de marco de DUP, haga clic con el botón secundario en el archivo de DUP, seleccione Propiedades y haga clic en la pestaña Detalles para encontrar el número de versión del archivo.

 

Los clientes deben utilizar el último DUP disponible en el soporte de Dell cuando actualicen sus sistemas. Los clientes no necesitan descargar y volver a ejecutar los DUP si el sistema ya está ejecutando el contenido más reciente del BIOS, el firmware o el controlador.     

 

Dell también recomienda ejecutar los paquetes de software DUP desde una ubicación protegida, una que requiera privilegios administrativos para acceder como práctica recomendada.

 

Dell recomienda a los clientes que sigan las prácticas recomendadas de seguridad para la protección contra malware. Los clientes deben utilizar software de seguridad para ayudar a protegerse contra el malware (software de prevención de amenazas avanzadas o antivirus).

Ringraziamenti

Dell desea agradecer a Pierre-Alexandre Braeken, Silas Cutler y Eran Shimony por informar este problema.

Informazioni correlate

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Dichiarazione di non responsabilità

Prodotti interessati

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Proprietà dell'articolo
Numero articolo: 000137022
Tipo di articolo: Dell Security Advisory
Ultima modifica: 18 ago 2025
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.