发布日期：2019-09-24
更新日期：2019-09-26

受影响系统：

Dell Update Package (DUP) Framewor < 3.8.3.67
Dell Update Package (DUP) Framewor < 19.1.0.413
Dell Update Package (DUP) Framewor < 103.4.6.69
Dell Update Package (DUP) Framewor

描述：

---

CVE(CAN) ID: CVE-2019-3726

Dell Update Package（DUP）是标准软件包格式的独立可执行文件，可更新系统上的单个软件/固件元素，由两个部分组成：提供一致接口的框架，用于应用负载，作为固件/BIOS/驱动程序的有效载荷。

Dell Update Package（DUP）Framework 19.1.0.413 之前版本、Dell EMC 服务器中使用的Framework 103.4.6.69 之前版本、客户端平台中使用的Update Package（DUP）Framework 3.8.3.67之前版本，在管理员执行 DUP 时，此漏洞仅限于在时间窗口中的 DUP 框架。在此期间，在本地经过身份验证的低权限恶意用户可能会通过引诱管理员运行受信任二进制文件来利用此漏洞，从而导致其加载恶意 DLL 并允许攻击者执行受害者系统上的任意代码。漏洞不会影响 DUP 提供的实际二进制有效负载。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Dell
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.dell.com/support/article/SLN318693

浏览次数：1953
严重程度：0（网友投票）