CVE-Kennzeichnung: CVE-2018-11053
Schweregrad: Mittel
Betroffene Produkte: Dell EMC iDRAC-Servicemodul 3.0.1, 3.0.2, 3.1.0, 3.2.0 (für alle unterstützten Linux- und XenServer-Betriebssysteme)
Zusammenfassung:
Dell EMC iDRAC-Servicemodul (iSM) wurde aktualisiert, um eine Sicherheitslücke aufgrund unzulässiger Dateiberechtigungen zu schließen, die möglicherweise durch bösartige Benutzer oder Prozesse des Host-Betriebssystems ausgenutzt werden könnte, um das betroffene System zu gefährden.
Details:
Dell EMC iDRAC-Servicemodul für alle unterstützten Linux- und XenServer-Betriebssysteme der Version 3.0.1, 3.0.2, 3.1.0, 3.2.0, ändert beim Start die standardmäßigen Dateiberechtigungen der Host-Datei des Host-Betriebssystems (/etc/hosts/) auf beschreibbar. Ein bösartiger Benutzer oder Prozess des Betriebssystems mit niedrigen Berechtigungen könnte die Host-Datei ändern und potenziell Datenverkehr vom vorgesehenen Ziel auf Seiten umleiten, die bösartige oder unerwünschte Inhalte hosten.
In den folgenden Dell EMC iDRAC-Servicemodul-Versionen wurde diese Sicherheitslücke geschlossen:
Dell EMC empfiehlt, so früh wie möglich ein Update vorzunehmen. Downloads für das entsprechende Betriebssystem sind unten aufgeführt:
Sicherheitspatch für iSM 3.2.0Dell EMC empfiehlt allen Benutzern die Anwendbarkeit dieser Informationen auf ihre individuellen Situationen zu prüfen und entsprechende Maßnahmen einzuleiten. Die hier festgelegte Information werden „wie besehen“ bereitgestellt, ohne jegliche Gewährleistung. Dell EMC übernimmt keinerlei Garantien, ausdrücklicher oder stillschweigender Art, einschließlich der Garantien der Marktgängigkeit, Eignung für einen bestimmten Zweck, des Rechtsanspruches oder der Nichtverletzung von Rechten Dritter. In keinem Fall übernimmt Dell EMC oder einer seiner Lieferanten die Verantwortung für Schäden jeglicher Art, einschließlich direkte, indirekte, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder besondere Schäden, selbst wenn Dell EMC oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.