Versão impressa em inglês: DSA-2019-065 Vulnerabilidade de caminho de pesquisa não controlado da estrutura do Dell Update Package (DUP)

Resumo: Consulte as informações sobre o DSA-2019-065 e o CVE-2019-3726, também conhecidos como Vulnerabilidade de caminho de pesquisa não controlada do Dell Update Package (DUP) Framework.

Este artigo aplica-se a Este artigo não se aplica a Este artigo não está vinculado a nenhum produto específico. Nem todas as versões do produto estão identificadas neste artigo.
Confira outros recursos

Impacto

Medium

Dados

A estrutura do Dell Update Package (DUP) foi atualizada para tratar uma vulnerabilidade que pode ser potencialmente explorada para comprometer o sistema.

 

Um (DUP) é um executável independente em formato de pacote padrão que atualiza um único elemento de software/firmware no sistema.  Um DUP consiste em duas partes:

  1. Uma estrutura que fornece uma interface consistente para aplicação de payloads
  2. O payload que é o firmware/o BIOS/os drivers

 

Para obter mais detalhes sobre DUPs, consulte DELL EMC Update Package (DUP) .

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Vulnerabilidade de caminho de pesquisa não controlado (CVE-2019-3726)

 

Uma vulnerabilidade de caminho de pesquisa não controlado é aplicável ao seguinte:

  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413 e versões do arquivo do Framework anteriores à 103.4.6.69 usadas nos servidores Dell EMC.
  • Versões do arquivo do Dell Update Package (DUP) Framework anteriores à 3.8.3.67 usadas nas plataformas de client da Dell. 

 

A vulnerabilidade é limitada à estrutura do DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse espaço de tempo, um usuário mal-intencionado de baixo privilégio autenticado localmente poderia explorar essa vulnerabilidade enganando um administrador para executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o invasor execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta a carga binária real fornecida pelo DUP.

Pontuação básica do CVSSv3: 6,7 (AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

A Dell Technologies recomenda que todos os clientes levem em consideração a pontuação base CVSS e as pontuações temporais e ambientais pertinentes que possam afetar a gravidade potencial associada a uma vulnerabilidade de segurança específica.

Produtos afetados e soluções

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Produtos afetados:

 

  • Para plataformas de client da Dell: Versões de arquivo do Dell Update Packages (DUP) Framework anteriores à 3.8.3.67.
  • Para servidores Dell EMC:
    • Drivers de rede e Fibre Channel: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 103.4.6.69
    • Todos os outros drivers, BIOS e firmware: Versões de arquivo do Dell Update Package (DUP) Framework anteriores à 19.1.0.413

Remediation:

As seguintes estruturas do Dell Update Package (DUP) contêm uma correção para a vulnerabilidade:

 

  • Plataformas de client da Dell:  Arquivo do Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior
  • Servidores Dell EMC – Drivers de rede e Fibre Channel: Arquivo do Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior
  • Servidores Dell EMC – todos os outros drivers, BIOS e firmware:  Arquivo de estrutura do Dell Update Package (DUP) versões 19.1.0.413 ou posteriores

 

Para verificar a versão do arquivo DUP Framework, clique com o botão direito no arquivo DUP, selecione Propriedades e clique na guia Detalhes para encontrar o número da versão do arquivo.

 

Os clientes devem usar o DUP mais recente disponível no Suporte Dell ao atualizar seus sistemas. Os clientes não precisarão fazer download e executar novamente os DUPs se o sistema já estiver executando o conteúdo mais recente de BIOS, firmware ou driver.     

 

A Dell também recomenda executar pacotes de software DUP de um local protegido, que exige privilégios administrativos para acesso como uma prática recomendada.

 

A Dell recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware. Os clientes devem usar um software de segurança para ajudar na proteção contra malware (software Advanced Threat Prevention ou antivírus).

Agradecimentos

A Dell gostaria de agradecer a Pierre-Alexandre Braeken, Silas Cutler e Eran Shimony por relatarem esse problema.

Informações relacionadas

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Aviso de isenção legal

Produtos afetados

Desktops & All-in-Ones, Laptops, Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Propriedades do artigo
Número do artigo: 000137022
Tipo de artigo: Dell Security Advisory
Último modificado: 18 ago. 2025
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.