ID CVE: CVE-2018-11053
Livello di gravità: Medio
Prodotti interessati: Dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (per tutti i sistemi operativi Linux e XenServer supportati)
Summary:
Dell EMC iDRAC Service Module (iSM) è stato aggiornato in modo da correggere una vulnerabilità riscontrata relativa all'autorizzazione file impropria che potrebbe essere potenzialmente sfruttata da utenti o processi del sistema operativo host malintenzionati o dannosi per compromettere il sistema interessato.
Dettagli
Quando avviato, il modulo Dell EMC iDRAC Service Module per tutti i sistemi operativi Linux e XenServer supportati (versioni 3.0.1, 3.0.2, 3.1.0, 3.2.0) cambia l'autorizzazione file predefinita dei file host del sistema operativo host (/etc/hosts) modificandola in "World Writable" ("Scrivibile da tutti"). Un utente malintenzionato o un processo dannoso del sistema operativo con privilegi limitati potrebbe quindi modificare il file host e reindirizzare potenzialmente il traffico dalla destinazione prevista a siti che ospitano contenuti dannosi o indesiderati.
Le seguenti versioni del modulo Dell EMC iSM (iDRAC Service Module) contengono la soluzione a questa vulnerabilità:
Dell EMC consiglia di eseguire l'aggiornamento il prima possibile. Qui di seguito sono disponibili i download in base al sistema operativo utilizzato:
Patch di sicurezza per iSM 3.2.0Dell EMC consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell EMC nega tutte le garanzie e responsabilità, espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell EMC o i suoi fornitori sono ritenuti responsabili per perdite o danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell EMC or i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.