Identificador de CVE: CVE-2018-1214
Severidade: Crítica (em configurações limitadas específicas, consulte a observação abaixo)
Produtos afetados: Dell EMC SupportAssist Enterprise 1,1 e fazer upgrade para o 1,2 (somente versões Windows da estação de gerenciamento do sistema operacional)
Resumo
Dell EMC SupportAssist Enterprise 1.2.1 contém correções para uma vulnerabilidade de conta padrão não documentada que pode ser explorada por usuários não autorizados para comprometer o sistema afetado.
Maiores
O SupportAssist Enterprise versão 1,1 cria uma conta de usuário local do Windows chamada "OMEAdapterUser" com uma senha padrão como parte do processo de instalação. Essa conta de usuário desnecessária também permanece mesmo após o upgrade da v 1.1 para a v 1.2. O acesso ao console de gerenciamento pode ser conseguido por alguém com o conhecimento da senha padrão.
Se SupportAssist Enterprise estiver instalado em um servidor que esteja executando o OpenManage Essentials (OME), a conta de usuário do OmeAdapterUser será adicionada como um membro do grupo de OmeAdministrators para a OME. Uma pessoa não autorizada com conhecimentos sobre a senha padrão e o acesso ao console da Web do OME potencialmente pode usar essa conta para ter acesso à instalação afetada de OME com privilégios de OmeAdministrators.
Rápidas
O seguinte Dell EMC versão do SupportAssist Enterprise contém soluções para estas vulnerabilidades:
Artifício
A conta de usuário do OmeAdapterUser pode ser excluída manualmente. A exclusão dessa conta de usuário não afeta a funcionalidade do SupportAssist Enterprise ou OpenManage Essentials.
Link para as soluções:
Os clientes podem fazer download do software da página Dell EMC SupportAssist Enterprise versão 1.2.1 Windows Management Server .
O Dell EMC recomenda que todos os usuários determinem a aplicabilidade dessas informações para suas situações individuais e tomem a ação apropriada. As informações aqui descritas são fornecidas "no estado em que se encontram", sem nenhum tipo de garantia. Dell EMC se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell EMC ou seus fornecedores, são responsáveis por quaisquer danos, incluindo direto, indireto, INCIDENTAIS, CONSEQUENCIAL, perda de lucros de negócios ou danos especiais, mesmo que Dell EMC ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns Estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, para que a limitação acima não seja aplicada.