DSA-2019-065: Уязвимость неконтролируемого пути поиска в инфраструктуре пакета Dell Update Package (DUP)

Samenvatting: См. информацию об уязвимости DSA-2019-065 и CVE-2019-3726, также известной как уязвимость Dell Update Package (DUP), делающая неконтролируемый путь поиска.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Impact

Medium

Gegevens

Структура пакета обновлений Dell Update Package (DUP) была обновлена для устранения уязвимости, которая может быть использована для взлома системы.

 

A (DUP) — это автономный исполняемый файл в стандартном формате пакета, который обновляет один элемент программного обеспечения или микропрограммы в системе.  Пакет DUP состоит из двух частей:

  1. структуру, обеспечивающую последовательный интерфейс для установки полезных нагрузок;
  2. полезную нагрузку (микропрограмма, BIOS, драйверы).

 

Дополнительные сведения о пакетах DUP см. в разделе Пакет обновлений DELL EMC (DUP).

Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)

 

Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:

  • В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
  • Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell. 

 

Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные

полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Уязвимость, связанная с неконтролируемым поиском (CVE-2019-3726)

 

Уязвимость, связанная с неконтролируемым путем поиска, применима к следующим объектам:

  • В серверах Dell EMC используются версии файлов Dell Update Package (DUP) до 19.1.0.413 и 103.4.6.69.
  • Версии файлов Dell Update Package (DUP) Framework, предшествующие 3.8.3.67, используемые на клиентских платформах Dell. 

 

Уязвимость ограничивается структурой DUP во время выполнения DUP администратором. В течение этого временного промежутка злоумышленник с локальной аутентификацией и низким уровнем привилегий может воспользоваться этой уязвимостью, обманом заставив администратора запустить доверенный двоичный файл, в результате чего он загрузит вредоносную библиотеку DLL и позволит злоумышленнику выполнить произвольный код в системе жертвы. Уязвимость не влияет на фактические двоичные

полезные данные, которые доставляет пакет.Базовая оценка CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Dell Technologies raadt aan dat alle klanten rekening houden met zowel de basisscore van CVSS als alle relevante tijdelijke en omgevingsscores die gevolgen kunnen hebben voor de mogelijke ernst van de specifieke beveiligingsproblemen.

Getroffen producten en herstel

Затронутые продукты:

 

  • Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
  • Для серверов Dell EMC:
    • Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
    • Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413

Remediation.

Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:

 

  • Клиентские платформы Dell:  Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
  • Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
  • Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы:  Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней

 

Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.

 

Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.     

 

Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.

 

Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).

Затронутые продукты:

 

  • Для клиентских платформ Dell: Версии файлов Dell Update Packages (DUP) Framework, предшествующие 3.8.3.67.
  • Для серверов Dell EMC:
    • Драйверы для сетей и Fibre Channel: Версии файлов Dell Update Package (DUP) Framework, предшествующие 103.4.6.69
    • Все остальные драйверы, BIOS и микропрограммы: Версии файлов Dell Update Package (DUP) Framework до 19.1.0.413

Remediation.

Следующие структуры пакета обновлений Dell (DUP) содержат устранение уязвимости:

 

  • Клиентские платформы Dell:  Файл Dell Update Package (DUP) Framework версии 3.8.3.67 или более поздней
  • Серверы Dell EMC — драйверы для сетей и Fibre Channel: Файл Dell Update Package (DUP) Framework версии 103.4.6.69 или более поздней
  • Серверы Dell EMC — все остальные драйверы, BIOS и микропрограммы:  Файл структуры пакета обновлений Dell Update Package (DUP) версии 19.1.0.413 или более поздней

 

Чтобы проверить версию файла DUP Framework, нажмите правой кнопкой мыши файл DUP, выберите «Свойства» и перейдите на вкладку «Details», чтобы найти номер версии файла.

 

Заказчикам следует использовать последнюю версию DUP, доступную в службе поддержки Dell, при обновлении своих систем. Заказчикам не нужно скачивать и повторно запускать DUP, если в системе уже установлены последние версии BIOS, микропрограммы или драйверов.     

 

Dell также рекомендует выполнять программные пакеты DUP из защищенного расположения, для доступа к которому требуются права администратора.

 

Dell рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО. Заказчикам следует использовать защитное ПО для защиты от вредоносных программ (ПО для расширенной защиты от угроз или антивирус).

Bevestigingen

Компания Dell благодарит Пьера-Александра Брекена (Pierre-Alexandre Braeken), Сайласа Катлера (Silas Cutler) и Эрана Шимони (Eran Шимony) за сообщение об этой проблеме.

Verwante informatie

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Juridische verklaring van afstand

Getroffen producten

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Artikeleigenschappen
Artikelnummer: 000137022
Artikeltype: Dell Security Advisory
Laatst aangepast: 18 aug. 2025
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.