DSA ID: DSA-2019-074
CVE 식별자: CVE-2019-3722 및 CVE-2019-3723
심각도: 위험
심각도 등급: 각 CVE에 대한 개별 CVSS 점수 아래의 상세 정보 섹션을 참조하십시오.
영향을 받는 제품:
- 9.1.0.3 이전의 Dell EMC OMSA(OpenManage Server Administrator) 버전
- 9.2.0.4 이전의 Dell EMC OMSA(OpenManage Server Administrator) 버전
요약:
시스템을 위험에 처하도록 악용할 가능성이 있는 여러 보안 취약성을 해결하기 위해 Dell EMC OpenManage System Administrator가 업데이트되었습니다.
상세 정보:
- XXE(XML External Entity) 삽입 취약성(CVE-2019-3722)
9.1.0.3 및 9.2.0.4 이전의 Dell EMC OMSA(OpenManage Server Administrator) 버전에는 XXE(XML External Entity) 삽입 취약성이 포함되어 있습니다. 인증되지 않은 원격 공격자가 XML 요청에 특수하게 조작된 DTD(Document Type Definition)를 제공하여 이 취약성을 악용하여 임의의 서버 시스템 파일을 읽을 수 있습니다.
CVSSv3 기본 점수 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- 웹 매개변수 변조 취약성(CVE-2019-3723)
9.1.0.3 및 9.2.0.4 이전의 Dell EMC OMSA(OpenManage Server Administrator) 버전에는 웹 매개변수 변조 취약성이 포함되어 있습니다. 인증되지 않은 원격 공격자가 잘못된 입력 매개변수 검증으로 인해 OMSA에 대한 웹 요청 매개변수를 조작하여 빈 콘텐츠를 사용하여 임의의 파일을 생성하거나 기존 파일의 콘텐츠를 삭제할 수 있습니다.
CVSSv3 기본 점수 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
해결 방법:
다음 Dell EMC OpenManage Server Administrator 릴리스에는 이러한 취약성에 대한 해결 방법이 포함되어 있습니다.
- Dell EMC OpenManage Server Administrator 9.1.0.3 이상
- Dell EMC OpenManage Server Administrator 9.2.0.4 이상
- Dell EMC OpenManage Server Administrator 9.3.0 이상
Dell EMC는 모든 고객이 최대한 빨리 업그레이드하는 것을 권장합니다.
문제 해결 링크:
고객은
PowerEdge 서버에 대한 OpenManage Server Administrator를 다운로드할 수 있습니다. 기타 모든 플랫폼의 경우
Dell 지원 사이트에서 해당 플랫폼을 선택합니다.
Dell은 모든 사용자가 이 정보를 개별 상황에 적용 가능한지 여부를 판단하여 적절히 조치하기를 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell은 상품성, 특정 목적에의 적합성, 권한, 비침해성을 비롯하여 명시적이거나 묵시적인 어떠한 보증도 부인합니다. 어떠한 경우에도 Dell 또는 관련 제공업체는 직접적, 간접적, 우연적, 결과적, 업무 손실, 특정 손상을 비롯하여 어떠한 피해에 대해서도 책임을 지지 않습니다. 이는 Dell 또는 관련 제공업체가 그런 피해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.