DSA-2019-065:Dell Update 套件 (DUP) 架構不受控制的搜尋路徑漏洞
Riepilogo: 請參閱 DSA-2019-065 和 CVE-2019-3726 的相關資訊,又稱為 Dell Update 套件 (DUP) 架構不受控制搜尋路徑漏洞。
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Impatto
Medium
Dettagli
Dell Update Package (DUP) 架構已經更新,以因應可能被惡意攻擊來入侵系統的漏洞。
A (DUP) 是採用標準套裝格式的獨立可執行檔,可更新系統上的單一軟體/韌體元素。 DUP 包含兩部分:
- 為應用有效負載提供一致介面的框架
- 韌體/BIOS/驅動程式的裝載
如需 DUP 的詳細資訊,請參閱 DELL EMC Update 套件 (DUP)。
不受控制的搜尋路徑漏洞 (CVE-2019-3726)
不受控制的搜尋路徑漏洞適用於以下內容:
- Dell EMC 伺服器使用的 Dell Update Package (DUP) Framework 檔案版本早於 19.1.0.413,以及低於 103.4.6.69 的 Framework 檔案版本。
- 在 Dell 用戶端平台中使用的 3.8.3.67 之前的 Dell Update 套件 (DUP) 架構檔案版本。
在系統管理員執行 DUP 的時間範圍內,此漏洞僅限於 DUP 架構。在這段時間內,經過本機驗證的低權限惡意使用者可能會利用此漏洞,誘騙系統管理員執行受信任的二進位檔案,使其載入惡意 DLL,並允許攻擊者在受害系統上執行任意程式碼。此漏洞不會影響 DUP 提供的實際二進位裝載。
CVSSv3 基本分數:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
不受控制的搜尋路徑漏洞 (CVE-2019-3726)
不受控制的搜尋路徑漏洞適用於以下內容:
- Dell EMC 伺服器使用的 Dell Update Package (DUP) Framework 檔案版本早於 19.1.0.413,以及低於 103.4.6.69 的 Framework 檔案版本。
- 在 Dell 用戶端平台中使用的 3.8.3.67 之前的 Dell Update 套件 (DUP) 架構檔案版本。
在系統管理員執行 DUP 的時間範圍內,此漏洞僅限於 DUP 架構。在這段時間內,經過本機驗證的低權限惡意使用者可能會利用此漏洞,誘騙系統管理員執行受信任的二進位檔案,使其載入惡意 DLL,並允許攻擊者在受害系統上執行任意程式碼。此漏洞不會影響 DUP 提供的實際二進位裝載。
CVSSv3 基本分數:6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Prodotti interessati e correzione
受影響的產品:
- 若為 Dell 用戶端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 檔案版本。
- 如需 Dell EMC 伺服器:
- 網路和光纖通道驅動程式:103.4.6.69 之前的 Dell Update Package (DUP) Framework 檔案版本
- 所有其他驅動程式、BIOS 和韌體:19.1.0.413 之前的 Dell Update Package (DUP) 架構檔案版本
補救措施:
下列 Dell Update 套件 (DUP) 架構包含漏洞的補救措施:
- Dell 用戶端平台: Dell Update Package (DUP) Framework 檔案版本 3.8.3.67 或更新版本
- Dell EMC 伺服器 – 網路和光纖通道驅動程式:Dell Update Package (DUP) Framework 檔案版本 103.4.6.69 或更新版本
- Dell EMC 伺服器 – 所有其他驅動程式、BIOS 和韌體: Dell Update Package (DUP) 架構檔案版本 19.1.0.413 或更新版本
若要檢查 DUP Framework 檔案版本,請在 DUP 檔案上按一下滑鼠右鍵,選取內容,然後按一下詳細資料標籤,以尋找檔案版本號碼。
客戶更新系統時,應使用 Dell 支援提供的最新 DUP。如果系統已在執行最新的 BIOS、韌體或驅動程式內容,則客戶不需要下載並重新執行 DUP。
Dell 也建議您在受保護的位置執行 DUP 套件,此位置需要管理員權限才能存取,此位置的最佳做法為最佳實務。
Dell 建議客戶遵循安全性最佳實務,保護惡意軟體。客戶應使用安全性軟體來協助防範惡意軟體 (進階威脅預防軟體或防毒軟體)。
受影響的產品:
- 若為 Dell 用戶端平台:3.8.3.67 之前的 Dell Update Packages (DUP) Framework 檔案版本。
- 如需 Dell EMC 伺服器:
- 網路和光纖通道驅動程式:103.4.6.69 之前的 Dell Update Package (DUP) Framework 檔案版本
- 所有其他驅動程式、BIOS 和韌體:19.1.0.413 之前的 Dell Update Package (DUP) 架構檔案版本
補救措施:
下列 Dell Update 套件 (DUP) 架構包含漏洞的補救措施:
- Dell 用戶端平台: Dell Update Package (DUP) Framework 檔案版本 3.8.3.67 或更新版本
- Dell EMC 伺服器 – 網路和光纖通道驅動程式:Dell Update Package (DUP) Framework 檔案版本 103.4.6.69 或更新版本
- Dell EMC 伺服器 – 所有其他驅動程式、BIOS 和韌體: Dell Update Package (DUP) 架構檔案版本 19.1.0.413 或更新版本
若要檢查 DUP Framework 檔案版本,請在 DUP 檔案上按一下滑鼠右鍵,選取內容,然後按一下詳細資料標籤,以尋找檔案版本號碼。
客戶更新系統時,應使用 Dell 支援提供的最新 DUP。如果系統已在執行最新的 BIOS、韌體或驅動程式內容,則客戶不需要下載並重新執行 DUP。
Dell 也建議您在受保護的位置執行 DUP 套件,此位置需要管理員權限才能存取,此位置的最佳做法為最佳實務。
Dell 建議客戶遵循安全性最佳實務,保護惡意軟體。客戶應使用安全性軟體來協助防範惡意軟體 (進階威脅預防軟體或防毒軟體)。
Ringraziamenti
Dell 感謝 Pierre-Alexandre Braeken、Silas Cutler 和 Eran Shimony 報告此問題。
Informazioni correlate
Dichiarazione di non responsabilità
Prodotti interessati
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeProprietà dell'articolo
Numero articolo: 000137022
Tipo di articolo: Dell Security Advisory
Ultima modifica: 18 ago 2025
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.