Identyfikator CVE: CVE-2018-11053
Stopień ważności: Średnia
Produkty, których dotyczy problem: Moduł dell EMC iDRAC Service Module 3.0.1, 3.0.2, 3.1.0, 3.2.0 (dla wszystkich obsługiwanych systemów operacyjnych Linux i XenServer)
Streszczenie:
Moduł usługowy Dell EMC iDRAC (iSM) został zaktualizowany w celu usunięcia luki w zabezpieczeniach nieprawidłowych uprawnień dostępu do pliku, która może być potencjalnie wykorzystana przez złośliwych użytkowników lub procesy systemu operacyjnego hosta do naruszenia bezpieczeństwa systemu, którego dotyczy problem.
Szczegóły:
Moduł usługowy Dell EMC iDRAC dla wszystkich obsługiwanych systemów Linux i XenServer w wersjach 3.0.1, 3.0.2, 3.1.0, 3.2.0 przy uruchomieniu zmienia domyślne uprawnienie dostępu do pliku hosta systemu operacyjnego (/etc/hosts) na powszechnie dostępne. Złośliwy użytkownik lub proces systemu operacyjnego o niskich przywilejach może zmodyfikować plik hosta i potencjalnie przekierowywać ruch sieciowy z oczekiwanego miejsca docelowego do stron hostujących złośliwą lub niepożądaną zawartość.
Następujące wersje moduł usługowego Dell EMC iDRAC zawierają rozwiązanie tej luki:
Firma Dell EMC zaleca zaktualizowanie przy najbliższej okazji. Pliki do pobrania dla danego systemu operacyjnego znajdują się poniżej:
Poprawka zabezpieczeń dla iSM 3.2.0Firma Dell EMC zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell EMC nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell EMC ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell EMC lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.