Ism: Vulnerabilità legata all'autorizzazione file impropria di Dell EMC iDRAC Service Module

ID CVE: CVE-2018-11053

Livello di gravità: Medio

Prodotti interessati: Dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (per tutti i sistemi operativi Linux e XenServer supportati)

Summary:

Dell EMC iDRAC Service Module (iSM) è stato aggiornato in modo da correggere una vulnerabilità riscontrata relativa all'autorizzazione file impropria che potrebbe essere potenzialmente sfruttata da utenti o processi del sistema operativo host malintenzionati o dannosi per compromettere il sistema interessato.

Dettagli

Quando avviato, il modulo Dell EMC iDRAC Service Module per tutti i sistemi operativi Linux e XenServer supportati (versioni 3.0.1, 3.0.2, 3.1.0, 3.2.0) cambia l'autorizzazione file predefinita dei file host del sistema operativo host (/etc/hosts) modificandola in "World Writable" ("Scrivibile da tutti"). Un utente malintenzionato o un processo dannoso del sistema operativo con privilegi limitati potrebbe quindi modificare il file host e reindirizzare potenzialmente il traffico dalla destinazione prevista a siti che ospitano contenuti dannosi o indesiderati.

iDRAC Service Module for Windows o VMware ESXi non è interessato da questo problema

Le seguenti versioni del modulo Dell EMC iSM (iDRAC Service Module) contengono la soluzione a questa vulnerabilità:

• Dell EMC iDRAC Service Module 3.2.0.1 (per tutti i sistemi operativi Linux e XenServer supportati)
• Dell EMC iDRAC Service Module 3.1.0.1 (per tutti i sistemi operativi Linux e XenServer supportati)

Dell EMC consiglia di eseguire l'aggiornamento il prima possibile. Qui di seguito sono disponibili i download in base al sistema operativo utilizzato:

• Pacchetti RPM iSM 3.2.0.1 per RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 e SLES 12
• Pacchetto DUP iSM 3.2.0.1 per RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 e SLES 12
• Immagine ISO di iSM 3.2.0.1 per XenServer 7

• Pacchetti RPM iSM 3.1.0.1 per RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 e SLES 12
• Immagine ISO di iSM 3.1.0.1 per XenServer 7

Dell EMC consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell EMC nega tutte le garanzie e responsabilità, espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell EMC o i suoi fornitori sono ritenuti responsabili per perdite o danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell EMC or i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.