DSA-2019-065: Luka w zabezpieczeniach pakietu Dell Update Package (DUP) Framework dotycząca niekontrolowanej ścieżki wyszukiwania
Samenvatting: Należy zapoznać się z informacjami na temat luki w zabezpieczeniach DSA-2019-065 i CVE-2019-3726, znanej również jako luka w zabezpieczeniach pakietu Dell Update Package (DUP) Uncontrolled Search Path. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Impact
Medium
Gegevens
Struktura pakietu Dell Update Package (DUP) została zaktualizowana w celu wyeliminowania luki, która może zostać wykorzystana w celu naruszenia integralności systemu.
Plik DUP (DUP) jest niezależnym plikiem wykonywalnym w standardowym formacie pakietu, który aktualizuje pojedynczy element oprogramowania/oprogramowania wewnętrznego w systemie. Pakiet DUP składa się z dwóch części:
- Struktury zapewniającej jednolity interfejs do stosowania obciążeń
- Obciążenie – oprogramowanie sprzętowe / BIOS / sterowniki
Aby uzyskać więcej informacji na temat pakietów DUP, zobacz Pakiet DELL EMC Update (DUP).
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Luka w zabezpieczeniach związana z niekontrolowaną ścieżką wyszukiwania (CVE-2019-3726)
Luka w zabezpieczeniach niekontrolowanej ścieżki wyszukiwania ma zastosowanie do następujących elementów:
- W serwerach Dell EMC używane są pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413 oraz w wersjach plików Framework wcześniejszych niż 103.4.6.69.
- Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67 używane na platformach klienckich firmy Dell.
Luka w zabezpieczeniach jest ograniczona do struktury DUP w przedziale czasowym, w którym pakiet DUP jest wykonywany przez administratora. W tym przedziale czasowym lokalnie uwierzytelniony złośliwy użytkownik o niskich uprawnieniach może potencjalnie wykorzystać tę lukę, nakłaniając administratora do uruchomienia zaufanego pliku binarnego, powodując załadowanie złośliwej biblioteki DLL i umożliwiając atakującemu wykonanie dowolnego kodu w systemie ofiary. Luka w zabezpieczeniach nie wpływa na rzeczywisty binarny ładunek danych dostarczany przez pakiet DUP.
Wynik podstawowy CVSSv3: 6.7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Getroffen producten en herstel
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Dotyczy produktów:
- W przypadku platform klienckich firmy Dell: Pliki Dell Update Packages (DUP) Framework w wersjach wcześniejszych niż 3.8.3.67.
- W przypadku serwerów Dell EMC:
- Sterowniki sieciowe i Fibre Channel: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 103.4.6.69
- Pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Pliki pakietu Dell Update Package (DUP) Framework w wersjach wcześniejszych niż 19.1.0.413
Remediation:
Następujące struktury pakietu Dell Update (DUP) zawierają środki zaradcze dotyczące luki:
- Platformy klienckie Dell: Plik struktury pakietu Dell Update (DUP) w wersji 3.8.3.67 lub nowszej
- Serwery Dell EMC — sterowniki sieciowe i Fibre Channel: Plik struktury pakietu Dell Update (DUP) w wersji 103.4.6.69 lub nowszej
- Serwery Dell EMC — wszystkie pozostałe sterowniki, system BIOS i oprogramowanie wewnętrzne: Plik pakietu Dell Update Package (DUP) w wersji 19.1.0.413 lub nowszej
Aby sprawdzić wersję pliku DUP Framework, kliknij prawym przyciskiem myszy plik DUP, wybierz polecenie Właściwości, a następnie kliknij kartę Szczegóły, aby znaleźć numer wersji pliku.
Podczas aktualizacji systemów klienci powinni korzystać z najnowszego pakietu DUP dostępnego w dziale pomocy technicznej firmy Dell. Klienci nie muszą pobierać i ponownie uruchamiać pakietów DUP, jeśli na komputerze jest już zainstalowany najnowszy system BIOS, oprogramowanie wewnętrzne lub sterowniki.
Firma Dell zaleca również uruchamianie pakietów oprogramowania DUP z chronionej lokalizacji, do której dostęp jest wymagany z uprawnieniami administratora.
Firma Dell zaleca klientom przestrzeganie najlepszych praktyk bezpieczeństwa w zakresie ochrony przed złośliwym oprogramowaniem. Klienci powinni korzystać z oprogramowania zabezpieczającego w celu ochrony przed złośliwym oprogramowaniem (oprogramowanie Advanced Threat Prevention lub program antywirusowy).
Bevestigingen
Firma Dell pragnie podziękować Pierre'owi-Alexandre'owi Braekenowi, Silasowi Cutlerowi i Eranowi Shimony'emu za zgłoszenie tego problemu.
Verwante informatie
Juridische verklaring van afstand
Getroffen producten
Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArtikeleigenschappen
Artikelnummer: 000137022
Artikeltype: Dell Security Advisory
Laatst aangepast: 18 aug. 2025
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.