Identificador CVE: CVE-2018-11053
Gravedad: Medio
Productos afectados: Módulo de servicio de Dell EMC iDRAC 3.0.1, 3.0.2, 3.1.0, 3.2.0 (para todos los sistemas operativos Linux y XenServer compatibles)
Resumen:
Se actualizó el módulo de servicio de Dell EMC iDRAC (iSM) para corregir una vulnerabilidad de permiso de archivo inadecuado que los usuarios o los procesos maliciosos del sistema operativo host podrían aprovechar para poner en peligro el sistema afectado.
Detalles:
El módulo de servicio de Dell EMC iDRAC para todas las versiones de Linux y XenServer compatibles 3.0.1, 3.0.2, 3.1.0, 3.2.0, cuando se inicia, cambia el permiso de archivo predeterminado del archivo hosts del sistema operativo host (/etc/hosts) a con capacidad de escritura mundial. Un usuario o proceso malicioso con poco privilegios del sistema operativo podría modificar el archivo de host y potencialmente redirigir el tráfico desde el destino previsto a los sitios que alojan contenido malicioso o no deseado.
Las siguientes versiones del módulo de servicio del iDRAC de Dell EMC contienen una resolución a esta vulnerabilidad:
Dell EMC recomienda actualizar lo antes posible. Las descargas para el sistema operativo correspondiente son las siguientes:
Parche de seguridad para iSM 3.2.0Dell EMC recomienda que todos los usuarios determinen la aplicabilidad de esta información en sus situaciones individuales y tomen las medidas adecuadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell EMC renuncia a todas las garantías, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un propósito determinado, título y ausencia de infracción. En ningún caso Dell EMC ni sus proveedores serán responsables de ningún daño, incluidos daños directos, indirectos, incidentales, consecuentes, pérdida de ganancias comerciales o daños especiales, incluso si se ha notificado a Dell EMC o a sus proveedores de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.