идентификатор DSA: DSA — 2019-074
Идентификатор CVE: CVE-2019-3722 и CVE-2019-3723
Уровень серьезности: критический
Рейтинг степени серьезности: подробные сведения о отдельных оценках CVSS для каждого CVE см. в разделе "Подробнее".
Затрагиваемые продукты:
- Версии Dell EMC OpenManage Server Administrator (OMSA) до 9.1.0.3
- Версии Dell EMC OpenManage Server Administrator (OMSA) до 9.2.0.4
Краткое содержание:
Системный администратор Dell EMC OpenManage был обновлен для устранения нескольких уязвимостей в системе безопасности, которые потенциально могут быть использованы для взлома системы.
Подробные сведения о
- Уязвимость инъекций внешнего объекта XML (КСКСЕ) (CVE-2019-3722)
Версии Dell EMC OpenManage Server Administrator (OMSA) до 9.1.0.3 и до 9.2.0.4 содержат уязвимость внедрения внешнего объекта XML (КСКСЕ). Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для чтения произвольных серверных системных файлов путем предоставления специально разработанных определений типов документов (DTD) в запросе XML.
Базовая оценка CVSSv3 7,5 (AV: N/AC: L/PR: N/UI: n/S: U/C: H/I: н/д: N)
- Уязвимость при подмене веб-параметров (CVE-2019-3723)
Версии Dell EMC OpenManage Server Administrator (OMSA) до 9.1.0.3 и до 9.2.0.4 содержат уязвимость для подмены веб-параметров. Удаленный злоумышленник, не прошедший проверку подлинности, может управлять параметрами веб-запросов в OMSA для создания произвольных файлов с пустым содержимым или удаления содержимого любого существующего файла из-за неправильной проверки входных параметров.
Базовая оценка CVSSv3 9,1 (AV: N/AC: L/PR: N/UI: n/S: U/C: н/я: H/A: H)
Разрешение:
Следующие выпуски Dell EMC OpenManage Server Administrator содержат решения для этих уязвимостей:
- Dell EMC OpenManage Server Administrator 9.1.0.3 и более поздних версий
- Dell EMC OpenManage Server Administrator 9.2.0.4 и более поздних версий
- Dell EMC OpenManage Server Administrator 9.3.0 и более поздних версий
Dell EMC рекомендует всем клиентам выполнить обновление при первой же возможности.
Ссылка на средства защиты:
Заказчики могут загрузить OpenManage Server Administrator для
серверов PowerEdge. Для всех остальных платформ выберите платформу на веб-
узле поддержки Dell.
Корпорация Dell рекомендует всем пользователям определять применимость этой информации к своим индивидуальным ситуациям и предпринимать соответствующие действия. Информация, изложенная в настоящем документе, предоставляется "как есть" без каких-либо гарантийных обязательств. Корпорация Dell отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности, пригодности для конкретной цели, права собственности и ненарушения прав. Ни в коем случае корпорация Dell или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, коммерческие прибыли или особые убытки, даже если корпорация Dell или ее поставщики были уведомлены о возможности таких убытков. В некоторых государствах не допускается исключение или ограничение ответственности за косвенный или непредвиденный ущерб, поэтому вышеизложенное ограничение может не применяться.