DSA Kimliği: DSA-2019-074
CVE Tanımlayıcısı: CVE-2019-3722 ve CVE-2019-3723
Önem Derecesi: Kritik
Önem Seviyesi: Her bir CVE'nin CVSS Puanını ayrı ayrı görmek için aşağıdaki Ayrıntılar bölümüne bakın
Etkilenen ürünler:
- 9.1.0.3'ten önceki Dell EMC OpenManage Sunucu Yöneticisi (OMSA) sürümleri
- 9.2.0.4'ten önceki Dell EMC OpenManage Sunucu Yöneticisi (OMSA) sürümleri
Özet:
Dell EMC OpenManage Sistem Yöneticisi, sistemi tehlikeye atmak amacıyla kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncellenmiştir.
Ayrıntılar:
- XML Dış Varlığı (XXE) Ekleme Güvenlik Açığı (CVE-2019-3722)
9.1.0.3 ve öncesi 9.2.0.4 öncesi Dell EMC OpenManage Sunucu Yöneticisi (OMSA) sürümleri, XML Dış Varlığı (XXE) ekleme güvenlik açığı içerir. Uzaktaki doğrulanmamış saldırganlar, XML isteğindeki özel olarak tasarlanmış belge türü tanımları (DTD'Ler) sağlayarak isteğe bağlı sunucu sistemi dosyalarını okumak için bu güvenlik açığını kullanabilir.
CVSSv3 Taban Puanı 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Web Parametresi Değişikliği Güvenlik Açığı (CVE-2019-3723)
9.1.0.3 ve 9.2.0.4'ten önceki Dell EMC OpenManage Sunucu Yöneticisi (OMSA) sürümleri, web parametresi değişikliği güvenlik açığı içerir. Uzaktaki doğrulanmamış saldırganlar, hatalı giriş parametresi doğrulaması nedeniyle, boş içeriğe sahip isteğe bağlı dosyalar oluşturabilmek veya mevcut dosyaların içeriğini silmek için web isteği parametrelerini OMSA'ya işleyebilir.
CVSSv3 Taban Puanı 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Çözüm:
Aşağıdaki Dell EMC OpenManage Sunucu Yöneticisi sürümleri, bu güvenlik açıklarına yönelik çözümler içerir:
- Dell EMC OpenManage Sunucu Yöneticisi 9.1.0.3 ve üzeri
- Dell EMC OpenManage Sunucu Yöneticisi 9.2.0.4 ve üzeri
- Dell EMC OpenManage Sunucu Yöneticisi 9.3.0 ve üzeri
Dell EMC, tüm müşterilerin ilk fırsatta yükseltme yapmasını önerir.
Çözümler için bağlantı:
Müşteriler,
PowerEdge sunucularına yönelik OpenManage Sunucu Yöneticisini indirebilir. Diğer tüm platformlar için lütfen
Dell Support sitesinden platform seçin.
Dell, tüm kullanıcıların bu bilgilerin bireysel durumlarına uygulanabilirliğini belirlemelerini ve uygun önlemleri almalarını önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell, satılabilirlik garantileri, belirli bir amaca uygunluk, unvan ve ihlal etmeme dahil olmak üzere, sarih ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.