ASA-2019-00546 – Dell Update Package (DUP) Framework: Vulnerabilidade de caminho de pesquisa não controlado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00546

Identificador(es)

ASA-2019-00546, CVE-2019-3726, DSA-2019-065

Título

Vulnerabilidade de caminho de pesquisa não controlado

Fabricante(s)

Dell EMC

Produto(s)

Dell Update Package (DUP) Framework

Versão(ões) afetada(s)

Para Dell Client Platforms:

  • Dell Update Packages (DUP) Framework file versões anteriores à 3.8.3.67

Para servidores Dell EMC – Drivers de rede e Fibre Channel:

  • Dell Update Packages (DUP) Framework file versões anteriores à 103.4.6.69

Para servidores Dell EMC – todos os outros drivers, BIOS e firmware:

  • Dell Update Packages (DUP) Framework file versões anteriores à 19.1.0.413

Versão(ões) corrigida(s)

Dell Client Platforms:

  • Arquivo Dell Update Package (DUP) Framework versão 3.8.3.67 ou posterior

Servidores Dell EMC – Drivers de rede e Fibre Channel:

  • Arquivo Dell Update Package (DUP) Framework versão 103.4.6.69 ou posterior

Servidores Dell EMC – todos os outros drivers, BIOS e firmware:

  • Arquivo Dell Update Package (DUP) Framework versões 19.1.0.413 ou posterior

Prova de conceito

Desconhecido

Descrição

A vulnerabilidade é limitada ao framework DUP durante a janela de tempo em que um DUP está sendo executado por um administrador. Durante esse período, um usuário mal-intencionado autenticado localmente com pouco privilégio pode potencialmente explorar essa vulnerabilidade, enganando um administrador e o levando executar um binário confiável, fazendo com que ele carregue uma DLL mal-intencionada e permitindo que o atacante execute código arbitrário no sistema da vítima. A vulnerabilidade não afeta o payload do binário real que o DUP entrega.

Detalhes técnicos

Desconhecido

Créditos

Pierre-Alexandre Braeken, Silas Cutler, e Eran Shimony

Referência(s)

DSA-2019-065: Dell Update Package (DUP) Framework Uncontrolled Search Path Vulnerability
https://www.dell.com/support/article/us/en/04/sln318693/dsa-2019-065-dell-update-package-dup-framework-uncontrolled-search-path-vulnerability?lang=en

CVE-2019-3726
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3726

CVE-2019-3726
https://nvd.nist.gov/vuln/detail/CVE-2019-3726

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.