Identyfikator DSA: DSA-2019-074
Identyfikator CVE: CVE-2019-3722 i CVE-2019-3723
Ważność: krytyczna
Wskaźnik ważności: patrz sekcja Szczegóły poniżej dla poszczególnych wyników CVSS dla każdego CVE
Produkty, których dotyczy problem:
- Wersja oprogramowania Dell EMC OpenManage Server Administrator (OMSA) wcześniejsza niż 9.1.0.3
- Wersja oprogramowania Dell EMC OpenManage Server Administrator (OMSA) wcześniejsza niż 9.2.0.4
Streszczenie:
Oprogramowanie Dell EMC OpenManage System Administrator zostało zaktualizowane w celu wyeliminowania kilku luk w zabezpieczeniach, które mogą być potencjalnie wykorzystane w celu naruszenia integralności systemu.
Szczegóły:
- Luka w zabezpieczeniach iniekcji zewnętrznego obiektu XML (XXE) (CVE-2019-3722)
Wersje oprogramowania Dell EMC OpenManage Server Administrator (OMSA) wcześniejsze niż 9.1.0.3 i 9.2.0.4 zawierają lukę w zabezpieczeniach iniekcji zewnętrznego obiektu XML (XXE). Zdalna nieuwierzytelniona osoba atakująca może wykorzystać tę lukę, aby odczytać dowolne pliki systemowe serwera poprzez dostarczenie w żądaniu XML specjalnie spreparowanych definicji typów dokumentów (DTD).
CVSSv3, ocena bazowa 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Luka w zabezpieczeniach umożliwiająca manipulowanie parametrami sieci Web (CVE-2019-3723)
Wersje oprogramowania Dell EMC OpenManage Server Administrator (OMSA) wcześniejsze niż 9.1.0.3 i 9.2.0.4 zawierają lukę umożliwiającą manipulowanie parametrami sieci Web. Zdalna nieuwierzytelniona osoba atakująca może manipulować parametrami żądań sieci Web skierowanymi do OMSA w celu utworzenia dowolnych pustych plików lub usunięcia zawartości istniejącego pliku z powodu nieprawidłowej weryfikacji parametrów wejściowych.
CVSSv3, ocena bazowa 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Rozwiązanie:
Wymienione luki w zabezpieczeniach usunięto w następujących wydaniach oprogramowania Dell EMC OpenManage Server Administrator:
- Dell EMC OpenManage Server Administrator 9.1.0.3 i nowsze
- Dell EMC OpenManage Server Administrator 9.2.0.4 i nowsze
- Dell EMC OpenManage Server Administrator 9.3.0 i nowsze
Firma Dell EMC zaleca wszystkim klientom jak najszybszą aktualizację.
Łącze do rozwiązań:
Klienci mogą pobrać oprogramowanie OpenManage Server Administrator przeznaczone do
serwerów PowerEdge. W przypadku wszystkich innych platform należy wybrać platformę z
witryny pomocy technicznej Dell.
Firma Dell zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.