Dell EMC SupportAssist Enterprise (serveur, stockage, mise en réseau)-vulnérabilité du compte par défaut non documenté

Identifiant CVE : CVE-2018-1214

Gravité : Critique (dans certaines configurations limitées, reportez-vous à la remarque ci-dessous)

Produits concernés : Dell EMC SupportAssist Enterprise 1,1 et effectuer une mise à niveau vers 1,2 (Windows versions de la station de gestion du système d’exploitation uniquement)

Synthétique

Dell EMC SupportAssist Enterprise 1.2.1 contient des correctifs pour une vulnérabilité de compte par défaut non documentable qui pourrait potentiellement être exploitée par des utilisateurs non autorisés pour compromettre le système affecté.

Informations

SupportAssist Enterprise version 1,1 crée un compte utilisateur Windows local nommé « OMEAdapterUser » avec un mot de passe par défaut dans le cadre du processus d’installation. Ce compte utilisateur inutile reste également même après la mise à niveau de la version 1.1 vers la version 1.2.  L’accès à la console de gestion peut être effectué par une personne connaissant le mot de passe par défaut. 

Si SupportAssist Enterprise est installé sur un serveur exécutant OpenManage Essentials (OME), le compte d’utilisateur OmeAdapterUser est ajouté en tant que membre du groupe OmeAdministrators pour le OME. Une personne non autorisée avec connaissance du mot de passe par défaut et l’accès à la console Web de l’OME pourraient potentiellement utiliser ce compte pour accéder à l’installation affectée de OME avec des privilèges OmeAdministrators. 

Remarque : Le niveau de gravité (critique) est basé sur les configurations où SupportAssist Enterprise est installé sur un serveur exécutant OME avec la fonction de gestion des configurations de serveur payante activée. Dell EMC recommande aux clients de prendre en compte les facteurs de déploiement qui peuvent être pertinents pour leur environnement pour évaluer leur risque global.

Remarque : Linux versions de SupportAssist Enterprise v 1.1 et la mise à niveau vers la version 1.2 ne sont pas affectées par ce problème.

Remarque : Le problème n’a pas d’impact sur les autres versions de l’entreprise ou de l’utilisateur final de SupportAssist.

768

La version de Dell EMC SupportAssist Enterprise suivante contient des solutions à ces vulnérabilités :

• Dell EMC SupportAssist Enterprise version 1.2.1

Dell EMC recommande la mise à niveau immédiate de tous les clients vers la version 1.2.1.

Éviter

Le compte utilisateur OmeAdapterUser peut être supprimé manuellement. La suppression de ce compte d’utilisateur n’a aucune incidence sur les fonctionnalités de SupportAssist Enterprise ou OpenManage Essentials.

Lien vers les recours :

Les clients peuvent télécharger le logiciel à partir de la page Dell EMC SupportAssist Enterprise version 1.2.1 Windows serveur de gestion .

Dell EMC recommande à tous les utilisateurs de déterminer l’applicabilité de ces informations à leurs situations particulières et d’effectuer les actions appropriées. Les informations contenues dans le présent document sont fournies « en l’État » sans aucune garantie d’aucune sorte. Dell EMC rejette toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à une utilisation particulière, de titre et d’absence de contrefaçon. En aucun cas, Dell EMC ou ses fournisseurs, ne saurait être tenus responsables des dommages, quels que soient les dommages directs, indirects, accessoires, consécutifs ou induits, même si Dell EMC ou ses fournisseurs ont été avertis de la possibilité de tels indemnisation. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour les dommages accidentels ou induits ; la limitation qui précède peut donc ne pas s’appliquer.