ısm: Dell EMC iDRAC Servis Modülü Yanlış Dosya İzni Güvenlik Açığı

CVE Tanımlayıcısı: CVE-2018-11053

Önem Derecesi: Orta

Etkilenen ürünler: Dell EMC iDRAC Servis Modülü 3.0.1, 3.0.2, 3.1.0, 3.2.0 (desteklenen tüm Linux ve XenServer işletim sistemleri için)

Özet:

Dell EMC iDRAC Servis Modülü (iSM), kötü amaçlı ana bilgisayar işletim sistemi kullanıcılarının ya da işlemlerinin etkilenen sistemi tehlikeye atmak amacıyla kullanılabileceği uygun olmayan dosya izni güvenlik açığını düzeltmek için güncelleştirilmiştir.

Ayrıntılar:

Dell EMC iDRAC Servis Modülü, desteklenen tüm Linux ve XenServer sürümlerinde (3.0.1, 3.0.2, 3.1.0, 3.2.0) başlatıldığında ana bilgisayar işletim sistemindeki ana bilgisayarlar dosyasının (/etc/hosts) varsayılan iznini herkes tarafından yazılabilir olarak değiştirir. Kötü amaçlı bir düşük ayrıcalıklı işletim sistemi kullanıcısı veya işlemi, ana bilgisayarlar dosyasını değiştirebilir ve trafiği asıl hedeften kötü amaçlı veya istenmeyen içeriğe sahip sitelere yönlendirebilir.

Windows veya VMWare ESXi için iDRAC Servis Modülü bu sorundan etkilenmez

Aşağıdaki Dell EMC iDRAC Servis Modülü sürümleri bu güvenlik açığına ilişkin çözüm içerir:

• Dell EMC iDRAC Servis Modülü 3.2.0.1 (desteklenen tüm Linux ve XenServer işletim sistemleri için)
• Dell EMC iDRAC Servis Modülü 3.1.0.1 (desteklenen tüm Linux ve XenServer işletim sistemleri için)

Dell EMC, yazılımı ilk fırsatta yükseltmenizi önerir. Uygun işletim sistemi için indirmeler aşağıda verilmiştir:

• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 ve SLES 12 için iSM 3.2.0.1 RPM paketleri (İngilizce)
• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 ve SLES 12 için iSM 3.2.0.1 DUP paketleri (İngilizce)
• XenServer 7 için iSM 3.2.0.1 ISO görüntüsü (İngilizce)

• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 ve SLES 12 için iSM 3.1.0.1 RPM paketleri (İngilizce)
• XenServer 7 için iSM 3.1.0.1 ISO görüntüsü (İngilizce)

Dell EMC, tüm kullanıcıların bu bilgilerin kendi özel durumlarına uygulanabilirliğini değerlendirmelerini ve uygun eylemi gerçekleştirmelerini önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell EMC, satılabilirlik garantileri, belirli bir amaca uygunluk, unvan ve ihlal etmeme dahil olmak üzere, sarih ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell EMC veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.