PowerEdge： iDRAC 服務模組不當檔案權限漏洞

CVE 識別符： CVE-2018-11053

嚴重性：中

受影響的產品：Dell EMC iDRAC Service Module 3.0.1、3.0.2、3.1.0、3.2.0 （適用於所有支援的 Linux 和 XenServer 作業系統）

摘要：

Dell EMC iDRAC Service Module （iSM） 已更新，以修正不當檔案權限漏洞;惡意主機作業系統使用者或程序可能會利用該漏洞，入侵受影響的系統。

詳情：

適用於所有支援的 Linux 和 XenServer 版本 3.0.1、3.0.2、3.1.0、3.2.0 的 Dell EMC iDRAC Service Module 啟動時，會將主機作業系統 （/etc/hosts） 的主機檔案的預設檔案權限變更為全域可寫。惡意的低許可權操作系統使用者或進程可能會修改主機檔，並可能將流量從預期目標重定向到託管惡意或不需要內容的網站。

下列 Dell EMC iDRAC 服務模組版本包含此漏洞的解決方案：

• Dell EMC iDRAC Service Module 3.2.0.1 （適用於所有支援的 Linux 和 XenServer 作業系統）
• Dell EMC iDRAC Service Module 3.1.0.1 （適用於所有支援的 Linux 和 XenServer 作業系統）

Dell Technologies 建議您儘早升級。適用作業系統的下載如下：

iSM 3.2.0 的安全性修補程式

• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 及 SLES 12 的 iSM 3.2.0.1 RPM 套件
• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 及 SLES 12 的 iSM 3.2.0.1 DUP 套件
• 適用於 XenServer 7 的 iSM 3.2.0.1 ISO 映像

iSM 3.1.0 的安全性修補程式

• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 及 SLES 12 的 iSM 3.1.0.1 RPM 套件
• 適用於 XenServer 7 的 iSM 3.1.0.1 ISO 映像

Dell Technologies 建議所有使用者都將此資訊的適用性依他們的個別情況來決定，並採取適當措施。本文提及的資訊以「現狀」提供，不提供任何形式的擔保。Dell EMC 不提供任何擔保，包括適售性、特定用途的適用性、權利和非侵權明示或默示的擔保。Dell EMC 或其供應商在任何情況下對於任何形式的損失均不負責，包括直接、間接、附帶性或衍生性損失、損失商業利潤或特殊損失，即使 Dell EMC 或其供應商已被告知此類損失發生的可能性。有些州不允許排除或限制衍生性或附帶性損失的責任，所以前述限制可能不適用。