Идентификатор CVE: CVE-2018-11053
Уровень серьезности: Medium
Затронутые продукты: Dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (для всех поддерживаемых операционных систем Linux и XenServer)
Резюме:
Модуль Dell EMC iDRAC Service Module (iSM) был обновлен для устранения уязвимости «Improper File Permission» (неправильное разрешение для файла). Эта уязвимость может быть использована злоумышленниками или вредоносными процессами через ОС сервера для компрометации уязвимой системы.
Описание:
Dell EMC iDRAC Service Module на всех поддерживаемых операционных системах Linux и XenServer версии 3.0.1, 3.0.2, 3.1.0, 3.2.0 при запуске изменяет разрешение по умолчанию на «World Writable» (доступно для записи всем) для хост-файла, размещенного на ОС сервера (/etc/hosts). Злоумышленник или вредоносный процесс с низким уровнем привилегий может изменить хост-файл и потенциально перенаправить трафик из целевого места назначения на сайты, содержащие вредоносные или нежелательные материалы.
Следующие выпуски Dell EMC iDRAC Service Module содержат решение по устранению данной уязвимости:
Dell EMC рекомендует выполнить обновление при первой возможности. Ниже указаны файлы, которые можно загрузить для соответствующей операционной системы:
Исправление безопасности для iSM 3.2.0Dell EMC рекомендует всем пользователям оценить релевантность данной информации к их ситуации и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell EMC отказывается от всех явных и подразумеваемых гарантий, в том числе от гарантий товарной пригодности, пригодности для конкретной цели и ненарушения прав. Ни при каких обстоятельствах компания Dell EMC или ее поставщики не несут ответственности за любой ущерб, в том числе за прямые, косвенные, случайные, побочные убытки, потерю коммерческой прибыли или фактические убытки, даже если компания Dell EMC или ее поставщики были предупреждены о возможности такого ущерба. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.