主义：Dell EMC iDRAC Service Module 错误文件权限漏洞

CVE 标识符：CVE-2018-11053

严重性：中

受影响的产品：Dell EMC iDRAC Service Module 3.0.1、3.0.2、3.1.0、3.2.0（适用于所有受支持的 Linux 和 XenServer 操作系统）

摘要：

Dell EMC iDRAC Service Module (iSM)已相应更新。这次更新修复了可能被恶意主机操作系统用户或进程用于破坏受影响系统的错误文件权限漏洞。

详细信息：

适用于所有受支持的Linux和XenServer的Dell EMC iDRAC Service Module版本3.0.1、3.0.2、3.1.0、3.2.0在启动时会将主机操作系统(/etc/hosts)的主机文件的默认文件权限更改为“全域可写”。恶意的低特权操作系统用户或进程可能会修改主机文件并且将流量从预期目标重定向到托管恶意或不需要的内容的站点。

适用于 Windows 或 VMWare ESXi 的 iDRAC Service Module 不受此问题的影响

以下Dell EMC iDRAC Service Module版本包含此漏洞的解决方案：

• Dell EMC iDRAC Service Module 3.2.0.1（适用于所有受支持的Linux和XenServer操作系统）
• Dell EMC iDRAC Service Module 3.1.0.1（适用于所有受支持的Linux和XenServer操作系统）

Dell EMC建议尽早升级。下面是适用操作系统的下载：

• 适用于RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11和SLES 12的iSM 3.2.0.1 RPM软件包
• 适用于RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11和SLES 12的iSM 3.2.0.1 DUP软件包
• 适用于XenServer 7的iSM 3.2.0.1 ISO 映像

• 适用于RHEL 6、RHEL 7、CentOS 6、CentOS 7、SLES 11和SLES 12的iSM 3.1.0.1 RPM软件包
• 适用于XenServer 7的iSM 3.1.0.1 ISO 映像

Dell EMC建议所有用户根据自己的具体情况确定此信息是否适用，并采取适当的措施。此处所述的信息按“原样”提供，不含任何形式的担保。Dell EMC拒绝做出所有明示或暗示担保，包括适销性、特定用途适用性、权利以及不侵权担保。任何情况下Dell EMC或其供应商不对包括直接、间接、偶然、必然损坏、业务利润损失或特殊损坏在内的任何损坏承担责任，即使Dell EMC或其供应商已被告知发生此类损坏的可能性也是如此。某些州不允许限制或排除对偶然或必然的损坏的责任，上述限制可能不适用。