ID DSA : DSA-2019-074
ID CVE : CVE-2019-3722 et CVE-2019-3723
Gravité : critique
Niveau de gravité : voir la section Détails ci-dessous pour connaître les scores CVSS individuels pour chaque CVE
Produits concernés :
- Versions de Dell EMC OpenManage Server Administrator (OMSA) antérieures à la version 9.1.0.3
- Versions de Dell EMC OpenManage Server Administrator (OMSA) antérieures à la version 9.2.0.4
Résumé :
Dell EMC OpenManage Server Administrator a été mis à jour afin de résoudre plusieurs vulnérabilités qui peuvent potentiellement être exploitées pour compromettre les systèmes.
Détails :
- Vulnérabilité d’injection d’entité externe XML (XXE) (CVE-2019-3722)
Les versions de Dell EMC OpenManage Server Administrator (OMSA) antérieures aux versions 9.1.0.3 et 9.2.0.4 contiennent une vulnérabilité d’injection d’entité externe XML (XXE). Un attaquant non authentifié à distance pourrait exploiter cette vulnérabilité pour lire arbitrairement des fichiers du système de serveur en fournissant des définitions de type de document (DTD), spécialement conçues dans une requête XML.
Score de base CVSSv3 : 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Vulnérabilité de falsification des paramètres Web (CVE-2019-3723)
Les versions de Dell EMC OpenManage Server Administrator (OMSA) antérieures aux versions 9.1.0.3 et 9.2.0.4 contiennent une vulnérabilité de falsification des paramètres Web. Un attaquant non authentifié à distance pourrait manipuler les paramètres des requêtes Web pour qu’OMSA crée des fichiers arbitraires avec du contenu vide ou supprime le contenu d’un fichier existant, en raison de la validation incorrecte des paramètres d’entrée.
Score de base CVSSv3 : 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Résolution :
Les versions suivantes de Dell EMC OpenManage Server Administrator intègrent une solution pour contrer ces vulnérabilités :
- Dell EMC OpenManage Server Administrator 9.1.0.3 et versions ultérieures
- Dell EMC OpenManage Server Administrator 9.2.0.4 et versions ultérieures
- Dell EMC OpenManage Server Administrator 9.3.0 et versions ultérieures
Dell EMC recommande à tous les clients d’effectuer la mise à niveau dès que possible.
Lien vers les solutions :
Les clients peuvent télécharger OpenManage Server Administrator pour les
serveurs PowerEdge. Pour toutes les autres plates-formes, veuillez sélectionner la plate-forme concernée à partir du
site de support Dell.
Dell recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. En aucun cas, Dell ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris en cas de dommages directs, indirects, induits ou accidentels, de perte d’exploitation ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.