DSA-2019-065: Dell Update Package (DUP)フレームワークの制御されていない検索パスの脆弱性
概要: DSA-2019-065およびCVE-2019-3726(Dell Update Package (DUP)フレームワークの制御不能な検索パスの脆弱性とも呼ばれる)に関する情報を参照してください。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
影響
Medium
詳細
Dell Update Package (DUP)フレームワークがアップデートされ、悪用されてシステムを侵害する可能性のある脆弱性に対処しました。
(DUP)は、標準パッケージ形式の自己完結型の実行可能ファイルで、システム上の単一のソフトウェア/ファームウェア要素をアップデートします。 DUPは、次の2つの部分から構成されます。
- ペイロードを適用するために一貫性のあるインターフェイスを提供するフレームワーク
- ファームウェア/BIOS/ドライバーであるペイロード
DUP の詳細については、DELL EMC Update Package (DUP) を参照してください。
制御されていない検索パスの脆弱性(CVE-2019-3726)
制御されていない検索パスの脆弱性は、次に適用されます。
- 19.1.0.413より前のDell Update Package (DUP)フレームワーク ファイル バージョン、およびDell EMCサーバーで使用されている103.4.6.69より前のフレームワーク ファイル バージョン。
- Dellクライアント プラットフォームで使用されている3.8.3.67より前のDell Update Package (DUP)フレームワーク ファイルのバージョン。
この脆弱性は、管理者によってDUPが実行されている時間帯のDUPフレームワークに限定されます。この時間帯に、ローカルで認証された権限の低い悪意のあるユーザーが、管理者を騙して信頼できるバイナリを実行させ、悪意のあるDLLをロードさせ、攻撃者が被害者のシステムで任意のコードを実行できるようにすることで、この脆弱性を悪用する可能性があります。この脆弱性は、DUPが配信する実際のバイナリー ペイロードには影響しません
CVSSv3 の基本スコア: 6.7(AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
制御されていない検索パスの脆弱性(CVE-2019-3726)
制御されていない検索パスの脆弱性は、次に適用されます。
- 19.1.0.413より前のDell Update Package (DUP)フレームワーク ファイル バージョン、およびDell EMCサーバーで使用されている103.4.6.69より前のフレームワーク ファイル バージョン。
- Dellクライアント プラットフォームで使用されている3.8.3.67より前のDell Update Package (DUP)フレームワーク ファイルのバージョン。
この脆弱性は、管理者によってDUPが実行されている時間帯のDUPフレームワークに限定されます。この時間帯に、ローカルで認証された権限の低い悪意のあるユーザーが、管理者を騙して信頼できるバイナリを実行させ、悪意のあるDLLをロードさせ、攻撃者が被害者のシステムで任意のコードを実行できるようにすることで、この脆弱性を悪用する可能性があります。この脆弱性は、DUPが配信する実際のバイナリー ペイロードには影響しません
CVSSv3 の基本スコア: 6.7(AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
影響を受ける製品と修復
対象製品:
- Dellクライアント プラットフォームの場合: 3.8.3.67より前のバージョンのDell Update Packages (DUP)フレームワーク ファイル。
- Dell EMCサーバーの場合:
- ネットワーキングおよびFibre Channelドライバー: 103.4.6.69より前のDell Update Package (DUP) Frameworkファイル バージョン
- その他すべてのドライバー、BIOS、ファームウェア: 19.1.0.413より前のDell Update Package (DUP)フレームワーク ファイル バージョン
修復作業:
次のDell Update Package (DUP)フレームワークには、この脆弱性に対する修復が含まれています。
- Dellクライアント プラットフォーム: Dell Update Package (DUP)フレームワーク ファイル バージョン3.8.3.67以降
- Dell EMCサーバー – ネットワーキングおよびファイバー チャネル用ドライバー: Dell Update Package (DUP)フレームワーク ファイル バージョン103.4.6.69以降
- Dell EMCサーバー – その他すべてのドライバー、BIOS、およびファームウェア: Dell Update Package (DUP)フレームワーク ファイル バージョン19.1.0.413以降
DUPフレームワーク ファイルのバージョンを確認するには、DUPファイルを右クリックし、[プロパティ]を選択してから、[詳細]タブをクリックしてファイルのバージョン番号を確認します。
システムをアップデートする際は、Dellサポートから入手できる最新のDUPを使用する必要があります。システムがすでに最新のBIOS、ファームウェア、またはドライバー コンテンツを実行している場合、お客様はDUPをダウンロードして再実行する必要はありません。
また、DUPソフトウェア パッケージは保護された場所から実行することをお勧めします。この場所では、ベスト プラクティスとして、管理者権限でアクセスする必要があります。
Dellでは、マルウェア対策に関するセキュリティのベスト プラクティスに従うことを推奨しています。お客様は、セキュリティ ソフトウェアを使用してマルウェア(高度な脅威対策ソフトウェアまたはウイルス対策ソフトウェア)から保護する必要があります。
対象製品:
- Dellクライアント プラットフォームの場合: 3.8.3.67より前のバージョンのDell Update Packages (DUP)フレームワーク ファイル。
- Dell EMCサーバーの場合:
- ネットワーキングおよびFibre Channelドライバー: 103.4.6.69より前のDell Update Package (DUP) Frameworkファイル バージョン
- その他すべてのドライバー、BIOS、ファームウェア: 19.1.0.413より前のDell Update Package (DUP)フレームワーク ファイル バージョン
修復作業:
次のDell Update Package (DUP)フレームワークには、この脆弱性に対する修復が含まれています。
- Dellクライアント プラットフォーム: Dell Update Package (DUP)フレームワーク ファイル バージョン3.8.3.67以降
- Dell EMCサーバー – ネットワーキングおよびファイバー チャネル用ドライバー: Dell Update Package (DUP)フレームワーク ファイル バージョン103.4.6.69以降
- Dell EMCサーバー – その他すべてのドライバー、BIOS、およびファームウェア: Dell Update Package (DUP)フレームワーク ファイル バージョン19.1.0.413以降
DUPフレームワーク ファイルのバージョンを確認するには、DUPファイルを右クリックし、[プロパティ]を選択してから、[詳細]タブをクリックしてファイルのバージョン番号を確認します。
システムをアップデートする際は、Dellサポートから入手できる最新のDUPを使用する必要があります。システムがすでに最新のBIOS、ファームウェア、またはドライバー コンテンツを実行している場合、お客様はDUPをダウンロードして再実行する必要はありません。
また、DUPソフトウェア パッケージは保護された場所から実行することをお勧めします。この場所では、ベスト プラクティスとして、管理者権限でアクセスする必要があります。
Dellでは、マルウェア対策に関するセキュリティのベスト プラクティスに従うことを推奨しています。お客様は、セキュリティ ソフトウェアを使用してマルウェア(高度な脅威対策ソフトウェアまたはウイルス対策ソフトウェア)から保護する必要があります。
確認
この問題を報告してくれたPierre-Alexandre Braeken、Silas Cutler、およびEran Shimonyに感謝いたします。
関連情報
法的免責事項
対象製品
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange文書のプロパティ
文書番号: 000137022
文書の種類: Dell Security Advisory
最終更新: 18 8月 2025
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。