Ism: Dell EMC iDRAC 서비스 모듈 부적절한 파일 사용 권한 취약성

CVE 식별자: CVE-2018-11053

심각도: 중간

영향을 받는 제품: Dell EMC iDRAC 서비스 모듈 3.0.1, 3.0.2, 3.1.0, 3.2.0(지원되는 모든 Linux 및 XenServer 운영 체제용)

요약:

악성 호스트 운영 체제 사용자 또는 영향 받는 시스템의 성능을 저하시키는 프로세스에 의해 악용할 가능성이 있는 잘못된 파일 권한 취약성을 수정하도록 Dell EMC iDRAC 서비스 모듈(iSM)을 업데이트했습니다.

상세 정보:

모든 지원 Linux 및 XenServer 버전 3.0.1, 3.0.2, 3.1.0, 3.2.0용 Dell EMC iDRAC Service는 시작 시 호스트 운영 체제(/etc/hosts)의 호스트 파일에 대한 기본 파일 권한이 전체 쓰기 가능으로 변경됩니다. 악의적인 낮은 권한의 운영 체제 사용자 또는 프로세스는 호스트 파일을 수정할 수 있으며 의도된 목적지에서 악의적이거나 사용자 동의 없이 설치된 콘텐츠를 호스팅하는 사이트로 리디렉션될 가능성이 있습니다.

Windows 또는 VMWare ESXi용 iDRAC 서비스 모듈은 이 문제의 영향을 받지 않습니다.

다음 Dell EMC iDRAC 서비스 모듈 릴리스에 이 취약점에 대한 해결책이 포함되어 있습니다.

• Dell EMC iDRAC 서비스 모듈 3.2.0.1(모든 지원 Linux 및 XenServer 운영 체제용)
• Dell EMC iDRAC 서비스 모듈 3.1.0.1(모든 지원 Linux 및 XenServer 운영 체제용)

Dell EMC는 최대한 빨리 업그레이드하는 것을 권장합니다. 적용되는 운영 체제의 다운로드는 아래에 있습니다.

• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 및 SLES 12용 iSM 3.2.0.1 RPM 패키지
• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 및 SLES 12용 iSM 3.2.0.1 DUP 패키지
• XenServer 7용 iSM 3.2.0.1 ISO 이미지

• RHEL 6, RHEL 7, CentOS 6, CentOS 7, SLES 11 및 SLES 12용 iSM 3.1.0.1 RPM 패키지
• XenServer 7용 iSM 3.1.0.1 ISO 이미지

Dell EMC는 모든 사용자가 이 정보를 개별 상황에 적용 가능한지 여부를 판단하여 적절히 조치하기를 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell EMC는 상품성, 특정 목적에의 적합성, 권한, 비침해성을 비롯하여 명시적이거나 묵시적인 어떠한 보증도 부인합니다. 어떠한 경우에도 Dell EMC 또는 관련 제공업체는 직접적, 간접적, 우연적, 결과적, 업무 손실, 특정 손상을 비롯하여 어떠한 피해에 대해서도 책임을 지지 않습니다. 이는 Dell EMC 또는 관련 제공업체가 그런 피해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.