DSA-tunniste: DSA-2019-074
CVE-tunniste: CVE-2019-3722 ja CVE-2019-3723
Vakavuus: kriittinen
Vakavuusluokitus: katso kunkin CVE:n yksittäiset CVSS-pisteet Tiedot-kohdasta
Tuotteet, joita asia koskee:
- Dell EMC OpenManage Server Administrator (OMSA) -versiot ennen versiota 9.1.0.3
- Dell EMC OpenManage Server Administrator (OMSA) -versiot ennen versiota 9.2.0.4
Yhteenveto:
Dell EMC OpenManage System Administrator on päivitetty ja siitä on korjattu useita suojaushaavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä.
Tiedot:
- XXE (XML External Entity) -lisäyshaavoittuvuus (CVE-2019-3722)
Dell EMC OpenManage Server Administrator (OMSA) -versiot ennen versiota 9.1.0.3 ja 9.2.0.4 sisältävät XXE (XML external entity) -lisäyshaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta todentamaton etähyökkääjä voi mahdollisesti lukea satunnaisia palvelimen järjestelmätiedostoja toimittamalla tietyllä tavalla muodostettuja asiakirjatyypin määritelmiä (DTD) XML-pyynnössä.
CVSSv3-peruspisteet 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Verkkoparametrin peukalointihaavoittuvuus (CVE-2019-3723)
Dell EMC OpenManage Server Administrator (OMSA) -versiot ennen versiota 9.1.0.3 ja 9.2.0.4 sisältävät verkkoparametrin peukalointihaavoittuvuuden. Todentamaton etähyökkääjä voi mahdollisesti manipuloida OMSAan lähetettävien verkkopyyntöjen parametreja ja luoda satunnaisia tiedostoja, joissa ei ole sisältöä, tai poistaa olemassa olevien tiedostojen sisältöä virheellisesti syötettyjen parametrien vahvistuksen vuoksi.
CVSSv3-peruspisteet 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Ratkaisu:
Seuraavat Dell EMC OpenManage Server Administrator -julkaisut sisältävät korjauksen näihin haavoittuvuuksiin:
- Dell EMC OpenManage Server Administrator 9.1.0.3 ja uudemmat
- Dell EMC OpenManage Server Administrator 9.2.0.4 ja uudemmat
- Dell EMC OpenManage Server Administrator 9.3.0 ja uudemmat
Dell EMC suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian.
Linkki korjauksiin:
Asiakkaat voivat ladata OpenManage Server Administratorin
PowerEdge-palvelimille. Valitse muissa ympäristöissä ympäristö
Dellin tukisivustossa.
Dell suosittelee, että kaikki käyttäjät selvittävät näiden tietojen soveltuvuuden omaan tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell sanoutuu irti kaikista nimenomaisista tai oletetuista takuista, mukaan lukien takuut myyntikelpoisuudesta, soveltuvuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dellille tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.