DSA ID: DSA-2019-074
Identifikátor CVE: CVE-2019-3722 a CVE-2019-3723
Závažnost: Kritická
Hodnocení závažnosti: Viz část Podrobnosti níže k jednotlivým skóre CVSS pro každé CVE
Dotčené produkty:
- Verze nástroje Dell EMC OpenManage Server Administrator (OMSA) starší než 9.1.0.3
- Verze nástroje Dell EMC OpenManage Server Administrator (OMSA) starší než 9.2.0.4
Shrnutí:
Nástroj Dell EMC OpenManage Server Administrator byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení systémů.
Podrobnosti:
- Zranitelnost XML External Entity (XXE) Injection (CVE-2019-3722)
Verze nástroje Dell EMC OpenManage Server Administrator (OMSA) před verzí 9.1.0.3 a před verzí 9.2.0.4 obsahují chybu zabezpečení „XML external entity (XXE) injection“. Vzdálený neověřený útočník by mohl tuto chybu zabezpečení zneužít ke čtení libovolných systémových souborů serveru tím, že by v požadavku XML poskytl speciálně vytvořené definice DTD (Document Type Definition).
Základní skóre CVSSv3: 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Zranitelnost Web Parameter Tampering (CVE-2019-3723)
Verze nástroje Dell EMC OpenManage Server Administrator (OMSA) před verzí 9.1.0.3 a před verzí 9.2.0.4 obsahují chybu zabezpečení „web parameter tampering“. Vzdálený neověřený útočník by mohl potenciálně manipulovat s parametry webových požadavků nástroje OMSA, aby vytvořil libovolné soubory s prázdným obsahem nebo odstranil obsah existujícího souboru z důvodu nesprávného ověření vstupních parametrů.
Základní skóre CVSSv3: 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Řešení:
Následující vydání nástroje Dell EMC OpenManage Server Administrator obsahují řešení těchto chyb zabezpečení:
- Dell EMC OpenManage Server Administrator 9.1.0.3 a novější
- Dell EMC OpenManage Server Administrator 9.2.0.4 a novější
- Dell EMC OpenManage Server Administrator 9.3.0 a novější
Společnost Dell EMC doporučuje všem uživatelům provést upgrade co nejdříve.
Odkaz na opravné prostředky:
Zákazníci si mohou stáhnout nástroj OpenManage Server Administrator pro
servery PowerEdge. Pro všechny ostatní platformy vyberte platformu na
stránkách podpory společnosti Dell .
Společnost Dell doporučuje všem uživatelům rozhodnout o použitelnosti těchto informací v konkrétní situaci a provést odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.