DSA ID: DSA-2019-074
CVE-identifikator: CVE-2019-3722 og CVE-2019-3723
Alvorlighetsgrad: kritisk
Alvorlighetsgrad: Se avsnittet om detaljer under CVSS-poengsummene for hver CVE
Berørte produkter:
- Dell EMC OpenManage Server Administrator-versjoner (OMSA) før 9.1.0.3
- Dell EMC OpenManage Server Administrator-versjoner (OMSA) før 9.2.0.4
Sammendrag:
Dell EMC OpenManage System Administrator har blitt oppdatert for å løse flere sikkerhetsproblemer som potensielt kan utnyttes for å skade systemet.
Detaljer:
- Sikkerhetsproblem med XXE-injeksjon (XML External Entity) (CVE-2019-3722)
Dell EMC OpenManage Server Administrator-versjoner (OMSA) før 9.1.0.3 og før 9.2.0.4 har et sikkerhetsproblem med XXE-injeksjon (XML External Entity). En ekstern hacker uten godkjenning kan potensielt utnytte dette sikkerhetsproblemet for å lese vilkårlige serversystemfiler ved å levere spesialutformede dokumenttypedefinisjoner (DTD-er) i en XML-forespørsel.
CVSSv3-grunnpoengsum: 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Sikkerhetsproblem som gjør det mulig å tukle med webparameteren (CVE-2019-3723)
Dell EMC OpenManage Server Administrator-versjoner (OMSA) før 9.1.0.3 og før 9.2.0.4 har et sikkerhetsproblem som gjør det mulig å tukle med webparameteren. En ekstern hacker uten godkjenning kan potensielt manipulere parameterne for webforespørsler til OMSA for å opprette vilkårlige filer med tomt innhold eller slette innholdet i en eksisterende fil, på grunn av feil validering av inndataparameter.
CVSSv3 grunnpoengsum: 9,1 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Løsning:
Følgende Dell EMC OpenManage Server Administrator-utgivelser inneholder løsninger på disse sikkerhetsproblemene:
- Dell EMC OpenManage Server Administrator 9.1.0.3 og nyere
- Dell EMC OpenManage Server Administrator 9.2.0.4 og nyere
- Dell EMC OpenManage Server Administrator 9.3.0 og nyere
Dell EMC anbefaler at alle kunder oppgraderer snarest mulig.
Kobling til utbedringer:
Kunder kan laste ned OpenManage Server Administrator for
PowerEdge-servere. For alle andre plattformer må du velge plattformen fra
Dell Support-nettstedet.
Dell anbefaler at alle brukere avgjør om denne informasjonen er aktuell for deres situasjon og iverksetter nødvendige tiltak. Informasjonen som er angitt i dette dokumentet, leveres som den er uten garantier av noe slag. Dell EMC fraskriver seg alle garantier, både uttrykte og underforståtte, inkludert garantier om salgbarhet, egnethet for et bestemt formål, eiendomsrett og manglende overholdelse. Ikke under noen omstendigheter skal Dell EMC eller dets leverandører holdes ansvarlig for skader eller tap, inkludert direkte, indirekte eller tilfeldige skader, følgeskader, tap av inntekter eller spesielle skader, selv om Dell EMC eller deres leverandører er underrettet om muligheten for slike skader. Noen land tillater ikke at ansvar for følgeskader eller tilfeldige skader skal utelukkes eller begrenses, noe som betyr at ovennevnte begrensning ikke gjelder.