DSA-id: DSA-2019-074
CVE-identifikator: CVE-2019-3722 og CVE-2019-3723
Alvorlighed: Kritisk
Klassifikation af alvorsgrad: Se afsnittet Detaljer nedenfor for at få individuelle CVSS-scorer for hver CVE
Berørte produkter:
- Dell EMC OpenManage Server Administrator-versioner (OMSA) før 9.1.0.3
- Dell EMC OpenManage Server Administrator-versioner (OMSA) før 9.2.0.4
Overblik:
Dell EMC OpenManage System Administrator er blevet opdateret, så den kan håndtere flere sikkerhedsrisici, som potentielt kan udnyttes til at kompromittere systemet.
Detaljer:
- Injektionssikkerhedsrisiko vedrørende en ekstern XML-enhed (XXE) (CVE-2019-3722)
Dell EMC OpenManage Server Administrator-versioner (OMSA) før 9.1.0.3 og før 9.2.0.4 indeholder en injektionssikkerhedsrisiko vedrørende en ekstern XML-enhed (XXE). En ekstern hacker, der ikke er godkendt, kan potentielt udnytte denne sikkerhedsrisiko og læse vilkårlige systemfiler på serveren ved at sende særligt udformede dokumenttypedefinitioner (DTD'er) i en XML-anmodning.
CVSSv3-basisscore 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Sikkerhedsrisiko ved manipulation af webparametre (CVE-2019-3723)
Dell EMC OpenManage Server Administrator-versioner (OMSA) før 9.1.0.3 og før 9.2.0.4 indeholder en sikkerhedsrisiko vedrørende manipulation af en webparameter. En ekstern hacker, der ikke er godkendt, kan potentielt ændre parametre i webanmodninger til OMSA og oprette vilkårlige filer med tomt indhold eller slette indholdet i eksisterende filer som følge af forkert validering af inputparametre.
CVSSv3-basisscore 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Løsning:
Følgende Dell EMC OpenManage Server Administrator-udgivelser indeholder løsninger på disse sikkerhedsrisici:
- Dell EMC OpenManage Server Administrator 9.1.0.3 og nyere
- Dell EMC OpenManage Server Administrator 9.2.0.4 og nyere
- Dell EMC OpenManage Server Administrator 9.3.0 og nyere
Dell EMC anbefaler alle kunder at opgradere hurtigst muligt.
Link til afhjælpende foranstaltninger:
Kunder kan downloade OpenManage Server Administrator til
PowerEdge-servere. For alle andre platforme skal de vælge platformen fra
Dells supportwebsted.
Dell anbefaler, at alle brugere bestemmer anvendeligheden af disse oplysninger med henblik på deres individuelle situationer og træffer de nødvendige foranstaltninger. Oplysningerne heri videresendes "som de er og forefindes" uden nogen form for garanti. Dell fraskriver sig enhver garanti, udtrykkelig eller underforstået, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse. Under ingen omstændigheder kan Dell eller dets leverandører gøres erstatningsansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige og specielle skader samt følgeskader og tab af indtjening, selvom Dell eller dets leverandører er blevet underrettet om muligheden for sådanne skader. Visse lande tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, så ovenstående begrænsning gælder muligvis ikke.