主義：Dell EMC iDRAC 服務模組檔案許可權漏洞不當

CVE 識別碼：CVE-2018-11053

嚴重性：中

受影響的產品：Dell EMC iDRAC Service Module 3.0.1、3.0.2、3.1.0、3.2.0 （適用於所有支援的 Linux 和 XenServer 操作系統）

摘要：

Dell EMC iDRAC Service Module （iSM） 已更新，以修正不當的檔案許可權漏洞，該漏洞可能會遭到惡意主機操作系統使用者或程式利用，使受影響的系統妥協。

詳細資料：

所有受支援Linux和 XenServer 版本 3.0.1、3.0.2、3.1.0、3.2.0 的 Dell EMC iDRAC 服務模組在啟動時，會將主機操作系統 （/etc/host） 的主機檔案預設檔案許可權變更為可寫入世界。惡意的低許可權作業系統使用者或程式可能會修改主機檔案，並可能會將流量從預定目的地重新導向到代管惡意或不要內容的網站。

適用於 Windows 或 VMWare ESXi 的 iDRAC 服務模組不受此問題影響

下列 Dell EMC iDRAC 服務模組版本包含此漏洞的解決方法：

• Dell EMC iDRAC Service Module 3.2.0.1 （適用於所有支援的 Linux 和 XenServer 操作系統）
• Dell EMC iDRAC Service Module 3.1.0.1 （適用於所有支援的 Linux 和 XenServer 操作系統）

Dell EMC 建議儘早升級。適用於適用作業系統的下載如下：

• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 和 SLES 12 的 iSM 3.2.0.1 RPM 套件
• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 和 SLES 12 的 iSM 3.2.0.1 DUP 套件
• XenServer 7 的 iSM 3.2.0.1 ISO 映射

• 適用於 RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11 和 SLES 12 的 iSM 3.1.0.1 RPM 套件
• XenServer 7 的 iSM 3.1.0.1 ISO 映射

Dell EMC 建議所有用戶根據自身情況判斷此資訊的適用性，並採取適當的行動。本文提及的資訊以「現狀」提供，不提供任何形式的擔保。Dell EMC 不提供任何明示或默示的擔保，包括適銷性、特定用途適用性、擁有權和非侵權等擔保。在任何情況下，Dell EMC 或其供應商對於任何損害概不負責，包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害，即使 Dell EMC 或其供應商對上述損害的可能性已經知情亦是如此。有些州不允許排除或限制衍生性或附帶性損失的責任，所以前述限制可能不適用。