DSA ID: DSA-2019-074
CVE Identificatie: CVE-2019-3722 en CVE-2019-3723
Prioriteitsniveau: kritiek
Prioriteitsniveau: Zie het gedeelte Details hieronder voor de afzonderlijke CVSS-scores per CVE
Betreffende producten:
- Dell EMC OpenManage Server Administrator (OMSA) versies ouder dan 9.1.0.3
- Dell EMC OpenManage Server Administrator (OMSA) versies ouder dan 9.2.0.4
Samenvatting:
Dell EMC OpenManage systeembeheerder is bijgewerkt om meerdere beveiligingslekken tegen te gaan waardoor mogelijk misbruik van het systeem gemaakt kon worden.
Details:
- Beveiligingslek met betrekking tot injectie van XML externe entiteit (XXE) (CVE-2019-3722)
Dell EMC OpenManage Server Administrator (OMSA) versies ouder dan 9.1.0.3 en 9.2.0.4 bevatten een beveiligingslek met betrekking tot injectie van XML externe entiteit (XXE). Een externe niet-geverifieerde aanvaller kan dit beveiligingslek misbruiken om willekeurige server systeembestanden te lezen door speciaal gemaakte definities van documenttypes (DTD's) in een XML-aanvraag te leveren.
CVSSv3 basisscore 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Beveiligingslek met betrekking tot manipulatie van webparameter (CVE-2019-3723)
Dell EMC OpenManage Server Administrator versies (OMSA) ouder dan 9.1.0.3 en 9.2.0.4 bevatten een beveiligingslek waardoor webparameters gemanipuleerd kunnen worden. Een externe niet-geverifieerde aanvaller kan de parameters van webverzoeken op OMSA manipuleren om willekeurige bestanden met lege inhoud te maken of de inhoud van een bestaand bestand verwijderen vanwege een onjuiste validatie van de invoerparameter.
CVSSv3 basisscore 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Resolutie:
De volgende releases van Dell EMC OpenManage Server Administrator bevatten oplossingen voor deze beveiligingslekken:
- Dell EMC OpenManage Server Administrator 9.1.0.3 en later
- Dell EMC OpenManage Server Administrator 9.2.0.4 en later
- Dell EMC OpenManage Server Administrator 9.3.0 en later
Dell EMC raadt alle klanten aan om zo snel mogelijk te upgraden.
Koppeling naar oplossingen:
Klanten kunnen OpenManage Server Administrator voor
PowerEdge-serversdownloaden. Voor alle andere platforms selecteert u het platform op de
Dell Support website.
Dell adviseert alle gebruikers om na te gaan of deze informatie voor hun eigen situatie geldt en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell wijst alle garanties, hetzij uitdrukkelijk of impliciet, af, inclusief de garanties van verhandelbaarheid, geschiktheid voor een bepaald doel, titel en niet-schending. Dell of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.