Ism: Vulnérabilité d’autorisation de fichier incorrecte de Dell EMC iDRAC Service Module

Identificateur CVE : CVE-2018-11053

Gravité : Moyen

Produits concernés : Dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (pour tous les systèmes d’exploitation Linux et XenServer pris en charge)

Résumé :

Le module de service iDRAC (iSM) de Dell EMC a été mis à jour pour corriger une vulnérabilité liée aux autorisations de fichier incorrectes qui pouvaient être exploitées par les utilisateurs du système d’exploitation hôte ou des processus malveillants, et compromettre le système affecté.

Détails :

L’iDRAC Service Module Dell EMC pour toutes les versions Linux et XenServer 3.0.1, 3.0.2, 3.1.0, 3.2.0 prises en charge lors du démarrage modifie l’autorisation de fichier par défaut du fichier d’hôtes du système d’exploitation hôte (/etc/hosts) sur world writable. Un utilisateur du système d’exploitation avec des privilèges de niveau inférieur ou un processus malveillants peuvent modifier le fichier hôte et dériver le trafic de la destination prévue vers des sites hébergeant du contenu malveillant ou indésirable.

L’iDRAC Service Module pour Windows ou VMware ESXi n’est pas affecté par ce problème

Les versions suivantes du module de service iDRAC Dell EMC intègrent une solution pour contrer cette vulnérabilité :

• Module de service iDRAC Dell EMC version 3.2.0.1 (pour tous les systèmes d’exploitation Linux et XenServer pris en charge)
• Module de service iDRAC Dell EMC version 3.1.0.1 (pour tous les systèmes d’exploitation Linux et XenServer pris en charge)

Dell EMC recommande d’effectuer la mise à niveau dès que possible. Les liens vers les téléchargements pour les systèmes d’exploitation concernés sont fournis ci-dessous :

• Packages iSM 3.2.0.1 RPM pour RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 et SLES 12
• Packages DUP iSM 3.2.0.1 DUP pour RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 et SLES 12
• Image ISO iSM 3.2.0.1 pour XenServer 7

• Packages iSM 3.1.0.1 RPM pour RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 et SLES 12
• Image ISO iSM 3.1.0.1 pour XenServer 7

Dell EMC recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell EMC décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. Dell EMC ou ses fournisseurs ne peuvent en aucun cas être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accidentels, consécutifs, la perte de bénéfices commerciaux ou dommages spéciaux, même si Dell EMC ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.