Article Number: 000176891
Ism: Luka w zabezpieczeniach modułu usług iDRAC firmy Dell EMC z nieprawidłowym zezwoleniem na plik
Summary: Wytyczne Dell EMC dotyczące ograniczania ryzyka i rozwiązywania problemu z luką w zabezpieczeniach nieprawidłowych uprawnień dostępu do pliku (CVE-2018-11053) dla modułów usługowych iDRAC w wersji 3.0.1, 3.0.2, 3.1.0 i 3.2.0. Szczegółowe procedury rozwiązania tego problemu można znaleźć w niniejszej instrukcji. ...
Article Content
Symptoms
Identyfikator CVE: CVE-2018-11053
Stopień ważności: Średnia
Produkty, których dotyczy problem: Moduł dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (dla wszystkich obsługiwanych systemów operacyjnych Linux i XenServer)
Streszczenie:
Moduł usługowy Dell EMC iDRAC (iSM) został zaktualizowany w celu usunięcia luki w zabezpieczeniach nieprawidłowych uprawnień dostępu do pliku, która może być potencjalnie wykorzystana przez złośliwych użytkowników lub procesy systemu operacyjnego hosta do naruszenia bezpieczeństwa systemu, którego dotyczy problem.
Szczegóły:
Moduł usługowy Dell EMC iDRAC dla wszystkich obsługiwanych systemów Linux i XenServer w wersjach 3.0.1, 3.0.2, 3.1.0, 3.2.0 przy uruchomieniu zmienia domyślne uprawnienie dostępu do pliku hosta systemu operacyjnego (/etc/hosts) na powszechnie dostępne. Złośliwy użytkownik lub proces systemu operacyjnego o niskich przywilejach może zmodyfikować plik hosta i potencjalnie przekierowywać ruch sieciowy z oczekiwanego miejsca docelowego do stron hostujących złośliwą lub niepożądaną zawartość.
Ten problem nie dotyczy modułu usług iDRAC dla systemu Windows lub VMWare ESXi
Jeśli uprawnienia dostępu do pliku /etc/hosts zostaną zmienione po zaktualizowaniu poprawki, zostaną ponownie zmienione na domyślne uprawnienia systemu Linux (tylko do odczytu) przy każdym uruchomieniu usługi iSM, niezależnie od tego, czy uprawnienia zostały celowo zmienione później.
Następujące wersje moduł usługowego Dell EMC iDRAC zawierają rozwiązanie tej luki:
- Moduł usługowy Dell EMC iDRAC w wersji 3.2.0.1 (dla wszystkich obsługiwanych systemów Linux i XenServer)
- Moduł usługowy Dell EMC iDRAC w wersji 3.1.0.1 (dla wszystkich obsługiwanych systemów Linux i XenServer)
Firma Dell EMC zaleca zaktualizowanie przy najbliższej okazji. Pliki do pobrania dla danego systemu operacyjnego znajdują się poniżej:
Poprawka zabezpieczeń dla iSM 3.2.0- Pakiety iSM 3.2.0.1 RPM dla RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 i SLES 12
- Pakiety ISM 3.2.0.1 DUP dla RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 i SLES 12
- Obraz ISO ISM 3.2.0.1 dla XenServer 7
Poprawka zabezpieczeń dla iSM 3.1.0
- Pakiety iSM 3.1.0.1 RPM dla RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 i SLES 12
- Obraz ISO ISM 3.1.0.1 dla XenServer 7
Firma Dell EMC zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell EMC nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell EMC ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell EMC lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Cause
None
Resolution
Zapoznaj się z sekcją Symptoms (Objawy).
Article Properties
Affected Product
iDRAC Service Module 3.x, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7
Last Published Date
01 Sep 2023
Version
6
Article Type
Solution