「PowerEdge： iDRACサービス モジュールの不適切なファイル権限の脆弱性

CVE識別子： CVE-2018-11053

重大度：中

対象製品: Dell EMC iDRAC Service Module 3.0.1、3.0.2、3.1.0、3.2.0(サポートされているすべてのLinuxおよびXenServerオペレーティング システム用)

［Summary］：

不適切なファイルアクセス権の脆弱性を解決するために、Dell EMC iDRACサービスモジュール（iSM）がアップデートされました。これまでは、ホスト・オペレーティング・システムの悪意のあるユーザまたはプロセスによって悪用されると、影響を受けるシステムが侵害される可能性がありました。

詳細:

すべてのサポート対象LinuxおよびXenServer用のDell EMC iDRACサービスモジュールのバージョン3.0.1、3.0.2、3.1.0、3.2.0の開始時に、ホスト・オペレーティング・システムのホストファイル（/etc/hosts）のデフォルト・ファイル・アクセス権がworld-writableに変更されていました。悪意のある権限の低いオペレーティング システム ユーザーまたはプロセスによって、ホスト ファイルが変更され、意図した宛先から悪意のあるコンテンツや不要なコンテンツをホストしているサイトにトラフィックがリダイレクトされる可能性があります。

この脆弱性の解決策は、次のDell EMC iDRACサービスモジュールのリリースでサポートされます。

• Dell EMC iDRACサービスモジュール3.2.0.1（全サポート対象LinuxおよびXenServerオペレーティングシステム）
• Dell EMC iDRACサービスモジュール3.1.0.1（全サポート対象LinuxおよびXenServerオペレーティングシステム）

デル・テクノロジーズでは、できるだけ早い機会にアップグレードすることをお勧めします。該当オペレーティングシステム用のダウンロードは次のとおりです。

iSM 3.2.0のセキュリティパッチ

• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.2.0.1 RPMパッケージ
• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.2.0.1 DUPパッケージ
• XenServer 7用のiSM 3.2.0.1 ISOイメージ

iSM 3.1.0のセキュリティパッチ

• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.1.0.1 RPMパッケージ
• XenServer 7用のiSM 3.1.0.1 ISOイメージ

デル・テクノロジーズでは、すべてのユーザーが個々の状況にこの情報が当てはまるかどうかを判断し、適切な措置を講じることをお勧めします。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。Dell EMCは、市販性、特定目的への適合性、権原、および非侵害の保証を含め、明示または黙示を問わず、すべての保証を放棄します。Dell EMCとそのサプライヤは、損害が生じる可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。