DSA ID:DSA-2019-074
CVE 标识符:CVE-2019-3722 和 CVE-2019-3723
严重性:严重
严重性评级:有关每个 CVE 的个体 CVSS 分数,请参阅以下“详细信息”部分
受影响的产品:
- 9.1.0.3 之前的 Dell EMC OpenManage Server Administrator (OMSA) 版本
- 9.2.0.4 之前的 Dell EMC OpenManage Server Administrator (OMSA) 版本
摘要:
Dell EMC OpenManage System Administrator 已经过更新,修复了可能会导致系统受损的多个安全漏洞。
详细信息:
- XML 外部实体 (XXE) 注入漏洞 (CVE-2019-3722)
9.1.0.3 之前和 9.2.0.4 之前的 Dell EMC OpenManage Server Administrator (OMSA) 版本包含 XML 外部实体 (XXE) 注入漏洞。未经身份验证的远程攻击者可能会利用此漏洞,通过在 XML 请求中提供特别编制的文档类型定义 (DTD) 来读取任意服务器系统文件。
CVSSv3 基本分数 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Web 参数篡改漏洞 (CVE-2019-3723)
9.1.0.3 之前和 9.2.0.4 之前的 Dell EMC OpenManage Server Administrator (OMSA) 版本包含 Web 参数篡改漏洞。由于不正确的输入参数验证,未经身份验证的远程攻击者可能会利用对 OMSA 的 Web 请求参数,创建具有空内容的任意文件或删除任何现有文件的内容。
CVSSv3 基本分数 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
解决办法:
以下 Dell EMC OpenManage Server Administrator 版本包含了这些漏洞的解决办法:
- Dell EMC OpenManage Server Administrator 9.1.0.3 及更高版本
- Dell EMC OpenManage Server Administrator 9.2.0.4 及更高版本
- Dell EMC OpenManage Server Administrator 9.3.0 及更高版本
Dell EMC建议所有客户尽早升级。
修复链接:
客户可以为
PowerEdge 服务器下载 OpenManage Server Administrator。对于所有其他平台,请从
戴尔支持网站选择相应平台。
戴尔建议所有用户根据自己的具体情况确定此信息是否适用,并采取适当的措施。此处所述的信息按“原样”提供,不含任何形式的担保。戴尔拒绝做出任何明示或暗示保证,包括适销性、特定用途适用性、权利以及不侵权保证。任何情况下戴尔或其供应商不对包括直接、间接、偶然、必然损失、业务利润损失或特殊损失在内的任何损失承担责任,即使戴尔或其供应商已被告知发生此类损失的可能性也是如此。某些州不允许限制或排除对偶然或必然的损坏的责任,上述限制可能不适用。