Ism：Dell EMC iDRACサービス モジュールの不適切なファイル権限の脆弱性

CVE識別子：CVE-2018-11053

重大度：中

対象製品: Dell EMC iDRACサービス モジュール3.0.1、3.0.2、3.1.0、3.2.0(サポートされているすべてのLinuxおよびXenServerオペレーティング システム用)

［Summary］：

不適切なファイルアクセス権の脆弱性を解決するために、Dell EMC iDRACサービスモジュール（iSM）がアップデートされました。これまでは、ホスト・オペレーティング・システムの悪意のあるユーザまたはプロセスによって悪用されると、影響を受けるシステムが侵害される可能性がありました。

詳細:

すべてのサポート対象LinuxおよびXenServer用のDell EMC iDRACサービスモジュールのバージョン3.0.1、3.0.2、3.1.0、3.2.0の開始時に、ホスト・オペレーティング・システムのホストファイル（/etc/hosts）のデフォルト・ファイル・アクセス権がworld-writableに変更されていました。オペレーティングシステムの低権限の悪意のあるユーザまたはプロセスが、ホストファイルを変更したり、トラフィックを意図した送信先から悪意のあるコンテンツまたは不審なコンテンツをホストしているサイトにリダイレクトしたりする可能性がありました。

WindowsまたはVMware ESXi用のiDRACサービス モジュールは、この問題の影響を受けません

この脆弱性の解決策は、次のDell EMC iDRACサービスモジュールのリリースでサポートされます。

• Dell EMC iDRACサービスモジュール3.2.0.1（全サポート対象LinuxおよびXenServerオペレーティングシステム）
• Dell EMC iDRACサービスモジュール3.1.0.1（全サポート対象LinuxおよびXenServerオペレーティングシステム）

Dell EMCは、できるだけ早い機会にアップグレードすることを推奨しています。該当オペレーティングシステム用のダウンロードは次のとおりです。

• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.2.0.1 RPMパッケージ
• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.2.0.1 DUPパッケージ
• XenServer 7用のiSM 3.2.0.1 ISOイメージ

• RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11、SLES 12用のiSM 3.1.0.1 RPMパッケージ
• XenServer 7用のiSM 3.1.0.1 ISOイメージ

すべてのユーザは、この情報が自身の状況に当てはまるかどうかを確認して、適切なアクションを実行することを、Dell EMCはお勧めします。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。Dell EMCは、市販性、特定目的との適合性、権原、および非侵害の保証を含め、明示的または黙示的にかかわらず、すべての保証を放棄します。Dell EMCとそのサプライヤは、損害が生じる可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。