A solução Dell KACE e a central de serviços reduziram minha carga de trabalho drasticamente. Em vez de um papel reativo, agora eu sou muito no trabalho que faço.
Jacob Lee, gerente da central de serviços de TI
US Synthetic
Página inicial / Suporte / Recursos / Base de conhecimento / Articles / K2000-3_3-SP1-for-International-Customers

K2000 3.3 SP1 para clientes internacionais

A versão 3.3 do K2000 tinha várias vulnerabilidades potenciais, informadas à CERT. Os itens a seguir foram corrigidos no K2000 3.3 SP1 para clientes internacionais.

Nota: o K2000 é uma solução de implantação de sistemas sem agente que usa serviços de inicialização PXE para implantar sistemas operacionais em computadores. Há protocolos como o TFTP, sem proteção ao fluxo de dados, integrados ao padrão PXE. A maioria dos protocolos especificados pelo PXE não tem substitutos com proteção ao fluxo de dados.

Sites com requisitos altos de segurança podem considerar convenientes redes dedicadas apenas à implantação, com proteção física e de rede adequadas.

Se o K2000 for usado em uma rede mista, deve-se dar atenção a algumas áreas em particular. 

Conta de recuperação (CERT VU#135606)

O K2000 versão 3.3 tem uma conta de recuperação para uso exclusivo do suporte Dell KACE no atendimento ao cliente. A senha dessa conta pode ser determinada com o exame do código-fonte PHP na solução.

Nota: essa conta foi substituída por uma senha admin alternativa de recuperação no K2000 3.3 SP1 e mais recentes. A senha de recuperação será alternada periodicamente, e não estará disponível no código-fonte PHP nem visível em nenhum lugar na solução. Recomenda-se a todos os administradores do K2000 atualizar para a versão mais recente.

A Dell KACE recomenda que o acesso à interface da Web da solução seja limitado pela proteção de rede e física, para que sua vulnerabilidade seja minimizada.

Execução arbitrária de comandos (CERT VU#589089)

Há uma tabela de banco de dados, com comandos de programação, executado como raiz na solução. O acesso de gravação ao banco de dados permite que se injetem comandos na tabela, que serão executados como raiz na solução, o que poderá comprometer a proteção da solução. Na configuração normal da solução, observamos que

  • o acesso SSH externo à conta raiz fica desligado por padrão
  • o acesso externo ao banco de dados fica desligado por padrão

Nota: no K2000 3.3 SP1 e mais recentes, não há privilégio de gravação no banco de dados no acesso off-board, eliminando essa possível vulnerabilidade. Recomenda-se a todos os administradores do K2000 atualizar para a versão mais recente.

Como prática, a Dell KACE recomenda que fiquem desligados para minimizar a vulnerabilidade. Recomenda-se a todos os administradores do K2000 atualizar para a versão mais recente, eliminando essa vulnerabilidade potencial.

Divulgação de informações da conta (CERT VU#702169)

O exame das tabelas do banco de dados no K2000 mostra que há senhas criptografadas armazenadas. Observamos que

  • O acesso off-board ao banco de dados fica desligado por padrão
  • Não há senhas armazenadas como texto no banco de dados da solução.
  • Toda a criptografia é criada com algoritmo MD5 (K2000 3.3 e anteriores) ou SHA-1 (K2000 3.3 SP1 e mais recentes).
  • Quando atribuída ao administrador, a senha admin é classificada com um algoritmo padrão, o que torna os valores criptografados menos vulneráveis a ataques de dicionários off-line, se for usada uma senha bastante forte.
  • Quando a integração com LDAP está ligada,
    • as contas de usuários locais ficam desativadas, diferente da "admin", o que impede o uso das senhas
    • nenhuma senha de contas LDAP é armazenada na solução além do necessário para autenticar o usuário.
    • nenhuma senha de contas LDAP é armazenada no banco de dados da solução

A Dell KACE recomenda que se sigam boas práticas para

  • manter desativado o acesso externo ao banco de dados
  • o uso de senhas complexas contra ataques de dicionários

Essas práticas reduzem qualquer provável vulnerabilidade com o armazenamento de senhas criptografadas para usuários locais no banco de dados da solução. Recomenda-se a todos os administradores do K2000 atualizar para a versão mais recente.

Vulnerabilidades de scripts intersite (XSS) (CERT VU#193529)

A equipe de engenharia do K2000 segue práticas internas de desenvolvimento para minimizar a chance de problemas de XSS na interface. Além disso, testamos a vulnerabilidade a XXS do K2000 com ferramentas padrão de proteção de rede, como o OpenVAS e o QualysGuard. Ocasionalmente, essas ferramentas podem deixar uma vulnerabilidade passar. Se alguma for descoberta, faremos tudo para corrigi-la tão logo possível.

Até o momento, as vulnerabilidades XSS relatadas requerem acesso autenticado à interface administrativa do K2000 com função que possa obter URLs particulares.

Recomendamos que o cliente use navegadores como o Chrome e plug-ins como o NoScript, que reduzem vulnerabilidades a XSS em todos os sites.

O cliente com dúvidas ou perguntas pode entrar em contato com o suporte Dell KACE.

Updated on: 26/01/2012