Vulnérabilités dans DELL

Date de publication :

CVE-2021-21522[Score CVSS v3.1: 8,2]
Une vulnérabilité a été découverte dans le bios de Dell. Il s’agit d’un problème au niveau de la gestion des identifications. Un attaquant local et authentifié peut exploiter cette vulnérabilité, via une réinitialisation du mot de passe dans le BIOS, pour avoir accès à des données sensibles stockées sur un Non-Volatil Memory express (NVMe) et sur les disques durs.

CVE-2021-36297[Score CVSS v3.1: 7,8]
Une vulnérabilité a été découverte dans SupportAssist Client Consumer de Dell. Il s’agit d’une vulnérabilité basée sur un chemin de recherche non sécurisé. Un attaquant peut exploiter cette vulnérabilité pour télécharger un fichier de la bibliothèque de lien dynamique. L’exécution de ce fichier nécessite une action d’administration séparée qui n’est pas par défaut dans SOSInstallerTool.exe.

CVE-2021-36283[Score CVSS v3.1: 7,5]
Une vulnérabilité a été découverte dans le BIOS de Dell. Il s’agit d’un problème concernant une validation d’entrée incorrecte au niveau du BIOS. Un attaquant local et authentifié peut exploiter cette vulnérabilité, via l’utilisation du System Management Interrupt (SMI), pour effectuer une exécution de code arbitraire dans le System Management RAM (SMRAM).

CVE-2021-36286[Score CVSS v3.1: 7,1]
Une vulnérabilité a été découverte dans SupportAssistClient Consumer de Dell. Il s’agit d’une vulnérabilité basée sur l’exploitation des liens symboliques du système de fichier NTFS de Windows. Un lien symbolique est un fichier qui pointe vers le contenu d'un autre fichier et qui peut être créé par un utilisateur sans privilège. Un lien symbolique seul n’est pas un danger, cependant, lorsqu'il cible un objet comme une jonction NTFS, une exploitation est possible. Le logiciel SupportAssist permet à un attaquant exploitant cette manipulation de supprimer n’importe quel fichier du système sans droit particulier.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Accès données sensibles
  • Contournement de sécurité
  • Exécution de code arbitraire
  • Elévation de privilèges
  • Téléchargement de fichier malveillant

Criticité

  • Score CVSS v3.1: 8,2 max

CVE

Composants vulnérables.

Concernant la vulnérabilité CVE-2021-21522, les composants suivants sont impactés :

  • Latitude 5285 2-in-1
  • Latitude 5289 2-in-1
  • Latitude 5290 2-in-1
  • Latitude 5310 2-IN-1
  • Latitude 7210 2 in 1
  • Latitude 7212 Rugged Extreme Tablet
  • Latitude 7280
  • Latitude 7285
  • Latitude 7290
  • Latitude 7310
  • Latitude 7370
  • Latitude 7380
  • Latitude 7389
  • Latitude 7390
  • Latitude 7390 2-in-1
  • Latitude 7410
  • Latitude 7420
  • Latitude 7480
  • Latitude 7490
  • Latitude 9410
  • Latitude 9510
  • Précision 3640 Tower
  • Précision 5510
  • Précision 5520
  • Précision 5530 2-in-1
  • XPS 13 (9360)
  • XPS 13 (9370)
  • XPS 15 9575 2-in-1

Concernant la vulnérabilité CVE-2021-36283, les composants suivants sont impactés :

  • ChengMing 3990
  • ChengMing 3991
  • Dell G3 15 (3500)
  • Dell G3 15 (3590)
  • Dell G5 15 (5500)
  • Inspiron 3493
  • Inspiron 3501
  • Inspiron 3593
  • Inspiron 3793
  • Inspiron 3880
  • Inspiron 3881
  • Inspiron 5400 2 in1
  • Inspiron 5490
  • Inspiron 5493
  • Inspiron 5498
  • Inspiron 5590
  • Inspiron 5593
  • Inspiron 5598
  • Inspiron 7391 2 in 1
  • Inspiron 7500
  • Inspiron 7500 2 in1 Silver
  • Inspiron 7501
  • Inspiron 7590
  • Inspiron 7591
  • Latitude 3310
  • Latitude 3310 2-in-1
  • Latitude 5300
  • Latitude 5300 2-IN-1
  • Latitude 5310
  • Latitude 5310 2-IN-1
  • Latitude 5400
  • Latitude 5401
  • Latitude 5410
  • Latitude 5411
  • Latitude 5500
  • Latitude 5501
  • Latitude 5510
  • Latitude 5511
  • Latitude 7200 2 in 1
  • Latitude 7210 2 in 1
  • Latitude 7220 / 7220EX Rugged Extreme Tablet
  • Latitude 7300
  • Latitude 7310
  • Latitude 7400
  • Latitude 7400 2-in-1
  • Latitude 7410
  • Latitude 9410
  • Latitude 9510
  • OptiPlex 3080
  • OptiPlex 3280 AIO
  • OptiPlex 5080
  • OptiPlex 5480 AIO
  • OptiPlex 7080
  • OptiPlex 7480 AIO
  • OptiPlex 7780 AIO
  • Precision 3440
  • Precision 3540
  • Precision 3541
  • Precision 3550
  • Precision 3551
  • Precision 3640 Tower
  • Precision 5540
  • Precision 5550
  • Precision 5750
  • Precision 7540
  • Precision 7550
  • Precision 7740
  • Precision 7750
  • Vostro 3401
  • Vostro 3491
  • Vostro 3501
  • Vostro 3591
  • Vostro 3681
  • Vostro 3881
  • Vostro 3888
  • Vostro 5490
  • Vostro 5590
  • Vostro 7500
  • Vostro 7590
  • Wyse 5470
  • XPS 13 (9380)
  • XPS 13 9300
  • XPS 17 9700
  • XPS 7380
  • XPS 7390 2-in-1
  • XPS 7590
  • XPS 9500

Concernant la vulnérabilité CVE-2021-36286 :

  • La version 3.9, et toutes les versions précédentes, de SupportAssist Client Consumer de Dell sont vulnérables.

Concernant la vulnérabilité CVE-2021-36297 :

  • La version 3.8, et toutes les versions précédentes, de SupportAssist Client Consumer de Dell sont vulnérables.

 

 

Solutions ou recommandations

Concernant la vulnérabilité CVE-2021-21522, il faut installer les mises à jour suivantes :

  • Latitude 5285 2-in-1 : mettre à jour à la version 1.13.0
  • Latitude 5289 2-in-1 : mettre à jour à la version 1.23.1
  • Latitude 5290 2-in-1 : mettre à jour à la version 1.16.0
  • Latitude 5310 2-in-1 : mettre à jour à la version 1.7.0
  • Latitude 7210 2-in-1 : mettre à jour à la version 1.7.0
  • Latitude 7212 Rugged Extreme Tablet : mettre à jour à la version 1.33.0
  • Latitude 7280 : mettre à jour à la version 1.21.1
  • Latitude 7285 : mettre à jour à la version 1.11.0
  • Latitude 7290 : mettre à jour à la version 1.20.0
  • Latitude 7310 : mettre à jour à la version 1.7.0
  • Latitude 7370 : mettre à jour à la version 1.24.3
  • Latitude 7380 : mettre à jour à la version 1.21.1
  • Latitude 7389 : mettre à jour à la version 1.23.1
  • Latitude 7390 : mettre à jour à la version 1.20.0
  • Latitude 7390 2-in-1 : mettre à jour à la version 1.19.0
  • Latitude 7410 : mettre à jour à la version 1.7.0
  • Latitude 7420 : mettre à jour à la version 1.7.1
  • Latitude 7480 : mettre à jour à la version 1.21.1
  • Latitude 7490 : mettre à jour à la version 1.20.1
  • Latitude 9410 : mettre à jour à la version 1.7.0
  • Latitude 9510 : mettre à jour à la version 1.6.0
  • Précision 3640 Tower : mettre à jour à la version 1.6.2
  • Précision 5510 : mettre à jour à la version 1.17.0
  • Précision 5520 : mettre à jour à la version 1.23.1
  • Précision 5530 2-in-1: mettre à jour à la version 1.14.10
  • XPS 13 (9360) : mettre à jour à la version 2.16.0
  • XPS 13 (9370) : mettre à jour à la version 1.15.0
  • XPS 15 9575 2-in-1 : mettre à jour à la version 1.16.2

Concernant la vulnérabilité CVE-2021-36283, il faut installer les mises à jour suivantes :

  • ChengMing 3990 : mettre à jour à la version 1.3.1
  • ChengMing 3991 : mettre à jour à la version 1.3.1
  • Dell G3 15 (3500) : mettre à jour à la version 1.7.1
  • Dell G3 15 (3590) : mettre à jour à la version 1.12.0
  • Dell G5 15 (5500) : mettre à jour à la version 1.7.1
  • Inspiron 3493 : mettre à jour à la version 1.12.0
  • Inspiron 3501: mettre à jour à la version 1.1.0
  • Inspiron 3593: mettre à jour à la version 1.12.0
  • Inspiron 3793: mettre à jour à la version 1.12.0
  • Inspiron 3880: mettre à jour à la version 1.3.1
  • Inspiron 3881: mettre à jour à la version 1.3.1
  • Inspiron 5400 2 in1: mettre à jour à la version 1.5.0
  • Inspiron 5490: mettre à jour à la version 1.12.0
  • Inspiron 5493: mettre à jour à la version 1.12.0
  • Inspiron 5498: mettre à jour à la version 1.12.0
  • Inspiron 5590: mettre à jour à la version 1.12.0
  • Inspiron 5593: mettre à jour à la version 1.12.0
  • Inspiron 5598: mettre à jour à la version 1.12.0
  • Inspiron 7391 2 in 1: mettre à jour à la version 1.9.1
  • Inspiron 7500: mettre à jour à la version 1.5.1
  • Inspiron 7500 2 in1 Silver: mettre à jour à la version 1.5.0
  • Inspiron 7501: mettre à jour à la version 1.5.1
  • Inspiron 7590: mettre à jour à la version 1.8.0
  • Inspiron 7591: mettre à jour à la version 1.8.0
  • Latitude 3310: mettre à jour à la version 1.8.3
  • Latitude 3310 2-in-1: mettre à jour à la version 1.17.1
  • Latitude 5300 : mettre à jour à la version 1.12.1
  • Latitude 5300 2-IN-1: mettre à jour à la version 1.12.1
  • Latitude 5310: mettre à jour à la version 1.4.2
  • Latitude 5310 2-IN-1: mettre à jour à la version 1.4.2
  • Latitude 5400: mettre à jour à la version 1.10.1
  • Latitude 5401: mettre à jour à la version 1.11.1
  • Latitude 5410: mettre à jour à la version 1.4.3
  • Latitude 5411: mettre à jour à la version 1.4.3
  • Latitude 5500: mettre à jour à la version 1.10.1
  • Latitude 5501: mettre à jour à la version 1.11.1
  • Latitude 5510: mettre à jour à la version 1.4.3
  • Latitude 5511 : mettre à jour à la version 1.4.3
  • Latitude 7200 2 in 1 : mettre à jour à la version 1.10.1  
  • Latitude 7210 2 in 1 : mettre à jour à la version 1.5.1
  • Latitude 7220 / 7220EX Rugged Extreme Tablet: mettre à jour à la version 1.9.1
  • Latitude 7300: mettre à jour à la version 1.11.1
  • Latitude 7310: mettre à jour à la version 1.5.1
  • Latitude 7400: mettre à jour à la version 1.11.1
  • Latitude 7400 2-in-1: mettre à jour à la version 1.10.0
  • Latitude 7410: mettre à jour à la version 1.5.1
  • Latitude 9410: mettre à jour à la version 1.5.1
  • Latitude 9510: mettre à jour à la version 1.4.2
  • OptiPlex 3080: mettre à jour à la version 1.3.1
  • OptiPlex 3280 AIO: mettre à jour à la version 1.3.1
  • OptiPlex 5080: mettre à jour à la version 1.3.1
  • OptiPlex 5480 AIO: mettre à jour à la version 1.4.0
  • OptiPlex 7080: mettre à jour à la version 1.3.10
  • OptiPlex 7480 AIO : mettre à jour à la version 1.6.2
  • OptiPlex 7780 AIO : mettre à jour à la version 1.6.2
  • Precision 3440 : mettre à jour à la version 1.3.10
  • Precision 3540 : mettre à jour à la version 1.10.1
  • Precision 3541 : mettre à jour à la version 1.11.1
  • Precision 3550: mettre à jour à la version 1.4.3
  • Precision 3551 : mettre à jour à la version 1.4.3
  • Precision 3640 Tower : mettre à jour à la version 1.4.3
  • Precision 5540 : mettre à jour à la version 1.9.1
  • Precision 5550 : mettre à jour à la version 1.6.1
  • Precision 5750 : mettre à jour à la version 1.6.3
  • Precision 7540 : mettre à jour à la version 1.11.2
  • Precision 7550 : mettre à jour à la version 1.6.2
  • Precision 7740 : mettre à jour à la version 1.11.2
  • Precision 7750 : mettre à jour à la version 1.6.2
  • Vostro 3401 : mettre à jour à la version 1.1.0
  • Vostro 3491 : mettre à jour à la version 1.12.0
  • Vostro 3501 : mettre à jour à la version 1.1.0
  • Vostro 3591 : mettre à jour à la version 1.12.0
  • Vostro 3681 : mettre à jour à la version 1.3.1
  • Vostro 3881 : mettre à jour à la version 1.3.1
  • Vostro 3888 : mettre à jour à la version 1.3.1
  • Vostro 5490 : mettre à jour à la version 1.12.0
  • Vostro 5590 : mettre à jour à la version 1.12.0
  • Vostro 7500 : mettre à jour à la version 1.5.1
  • Vostro 7590 : mettre à jour à la version 1.8.0
  • Wyse 5470 : mettre à jour à la version 1.6.0
  • XPS 13 (9380): mettre à jour à la version 1.12.0
  • XPS 13 9300: mettre à jour à la version 1.4.1
  • XPS 17 9700 : mettre à jour à la version 1.6.3
  • XPS 7380 : mettre à jour à la version 1.7.0
  • XPS 7390 2-in-1 : mettre à jour à la version 1.7.1
  • XPS 7590: mettre à jour à la version 1.9.1
  • XPS 9500: mettre à jour à la version 1.6.1

Concernant la vulnérabilité CVE-2021-36286 :

  • Mettre à jour SupportAssist Client Consumer de Dell à la version 3.10

Concernant la vulnérabilité CVE-2021-36297 :

  • Mettre à jour SupportAssist Client Consumer de Dell à la version 3.9

 

 

Liens