Article Number: 000176891
Identyfikator CVE: CVE-2018-11053
Stopień ważności: Średnia
Produkty, których dotyczy problem: Moduł dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (dla wszystkich obsługiwanych systemów operacyjnych Linux i XenServer)
Streszczenie:
Moduł usługowy Dell EMC iDRAC (iSM) został zaktualizowany w celu usunięcia luki w zabezpieczeniach nieprawidłowych uprawnień dostępu do pliku, która może być potencjalnie wykorzystana przez złośliwych użytkowników lub procesy systemu operacyjnego hosta do naruszenia bezpieczeństwa systemu, którego dotyczy problem.
Szczegóły:
Moduł usługowy Dell EMC iDRAC dla wszystkich obsługiwanych systemów Linux i XenServer w wersjach 3.0.1, 3.0.2, 3.1.0, 3.2.0 przy uruchomieniu zmienia domyślne uprawnienie dostępu do pliku hosta systemu operacyjnego (/etc/hosts) na powszechnie dostępne. Złośliwy użytkownik lub proces systemu operacyjnego o niskich przywilejach może zmodyfikować plik hosta i potencjalnie przekierowywać ruch sieciowy z oczekiwanego miejsca docelowego do stron hostujących złośliwą lub niepożądaną zawartość.
Następujące wersje moduł usługowego Dell EMC iDRAC zawierają rozwiązanie tej luki:
Firma Dell EMC zaleca zaktualizowanie przy najbliższej okazji. Pliki do pobrania dla danego systemu operacyjnego znajdują się poniżej:
Poprawka zabezpieczeń dla iSM 3.2.0Firma Dell EMC zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell EMC nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell EMC ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell EMC lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
iDRAC Service Module 3.x, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7
01 Sep 2023
6
Solution