Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů
  • Spravujte své profily, produkty a kontakty na úrovni produktů na stránkách Dell EMC pomocí správy společnosti.

DSA-2021-106: Aktualizace zabezpečení klientské platformy Dell pro více chyb zabezpečení ve funkcích BIOSConnect a HTTPS Boot jako součást klientského systému BIOS Dell

Shrnutí: Společnost Dell vydává opravy pro několik chyb zabezpečení ovlivňujících funkce BIOSConnect a HTTPS Boot.

Tento článek byl zřejmě přeložen automaticky. Máte-li připomínky k jeho kvalitě, informujte nás pomocí formuláře ve spodní části stránky.

Obsah článku


Vliv

High

Podrobnosti
Proprietární kódy CVE Popis Základní skóre CVSS Vektorový řetězec CVSS
CVE-2021-21571 Sada https systému Dell UEFI BIOS, kterou využívají funkce Dell BIOSConnect a Dell HTTPS Boot, obsahuje chybu zabezpečení s nesprávným ověřením certifikátu. Vzdálený neověřený útočník může tuto chybu zabezpečení zneužít pomocí útoku jako prostředník, což může vést k odmítnutí služby a neoprávněné manipulaci s datovou částí. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funkce Dell BIOSConnect obsahuje chybu zabezpečení přetečení vyrovnávací paměti. Škodlivý ověřený uživatel admin, který má místní přístup do systému, může tuto chybu zabezpečení potenciálně zneužít ke spuštění libovolného kódu a obejít tak omezení UEFI. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Popis funkcí Dell BIOSConnect a HTTPS Boot:
  • Funkce Dell BIOSConnect je řešení Dell před spuštěním, které se používá k aktualizaci systému BIOS a obnovení operačního systému (OS) pomocí aplikace SupportAssist OS Recovery na klientských platformách Dell. Poznámka: Funkce BIOSConnect vyžaduje pro spuštění této funkce fyzicky přítomného uživatele. Je dotčena pouze podmnožina platforem s funkcí BIOSConnect. Informace o dotčených platformách naleznete v tabulce v části Další informace níže.
  • Funkce spouštění Dell HTTPS Boot je rozšířením specifikací spouštění UEFI HTTP Boot, která umožňuje spuštění ze serveru HTTP(S). Poznámka: Tato funkce není ve výchozím nastavení nakonfigurována a ke konfiguraci vyžaduje fyzicky přítomného uživatele s oprávněním správce místního operačního systému. Kromě toho je při použití s bezdrátovými sítěmi vyžadován fyzicky přítomný uživatel, aby tuto funkci spustil. Ne všechny platformy obsahují funkci HTTPS Boot. Seznam dotčených platforem naleznete v tabulce v části Další informace níže.
Výše uvedené chyby zabezpečení byly hlášeny jako řetězec chyb zabezpečení. Kumulativní skóre řetězce zranitelnosti je: 8,3 Vysoké CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Zneužití řetězce vyžaduje další kroky:
  • Aby mohl škodlivý účastník zneužít řetězec chyb zabezpečení funkce BIOSConnect, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, použije funkci BIOSConnect.
  • Aby mohl škodlivý účastník zneužít chybu zabezpečení zranitelnosti funkce HTTPS Boot, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, změní pořadí spouštění a použije funkci HTTPS Boot.
Kromě uplatnění níže uvedených řešení se zákazníci mohou dále chránit dodržováním doporučených postupů zabezpečení, kdy budou používat pouze zabezpečené sítě a zabrání neoprávněnému místnímu a fyzickému přístupu k zařízením. Zákazníci by také měli povolit funkce zabezpečení platformy, jako je Secure Boot (ve výchozím nastavení povoleno pro platformy Dell se systémem Windows) a heslo správce systému BIOS pro zvýšenou ochranu.

Poznámka: Pokud je funkce Secure Boot zakázána, může to mít vliv na potenciální závažnost související s chybou zabezpečení CVE-2021-21571.
Proprietární kódy CVE Popis Základní skóre CVSS Vektorový řetězec CVSS
CVE-2021-21571 Sada https systému Dell UEFI BIOS, kterou využívají funkce Dell BIOSConnect a Dell HTTPS Boot, obsahuje chybu zabezpečení s nesprávným ověřením certifikátu. Vzdálený neověřený útočník může tuto chybu zabezpečení zneužít pomocí útoku jako prostředník, což může vést k odmítnutí služby a neoprávněné manipulaci s datovou částí. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funkce Dell BIOSConnect obsahuje chybu zabezpečení přetečení vyrovnávací paměti. Škodlivý ověřený uživatel admin, který má místní přístup do systému, může tuto chybu zabezpečení potenciálně zneužít ke spuštění libovolného kódu a obejít tak omezení UEFI. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Popis funkcí Dell BIOSConnect a HTTPS Boot:
  • Funkce Dell BIOSConnect je řešení Dell před spuštěním, které se používá k aktualizaci systému BIOS a obnovení operačního systému (OS) pomocí aplikace SupportAssist OS Recovery na klientských platformách Dell. Poznámka: Funkce BIOSConnect vyžaduje pro spuštění této funkce fyzicky přítomného uživatele. Je dotčena pouze podmnožina platforem s funkcí BIOSConnect. Informace o dotčených platformách naleznete v tabulce v části Další informace níže.
  • Funkce spouštění Dell HTTPS Boot je rozšířením specifikací spouštění UEFI HTTP Boot, která umožňuje spuštění ze serveru HTTP(S). Poznámka: Tato funkce není ve výchozím nastavení nakonfigurována a ke konfiguraci vyžaduje fyzicky přítomného uživatele s oprávněním správce místního operačního systému. Kromě toho je při použití s bezdrátovými sítěmi vyžadován fyzicky přítomný uživatel, aby tuto funkci spustil. Ne všechny platformy obsahují funkci HTTPS Boot. Seznam dotčených platforem naleznete v tabulce v části Další informace níže.
Výše uvedené chyby zabezpečení byly hlášeny jako řetězec chyb zabezpečení. Kumulativní skóre řetězce zranitelnosti je: 8,3 Vysoké CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Zneužití řetězce vyžaduje další kroky:
  • Aby mohl škodlivý účastník zneužít řetězec chyb zabezpečení funkce BIOSConnect, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, použije funkci BIOSConnect.
  • Aby mohl škodlivý účastník zneužít chybu zabezpečení zranitelnosti funkce HTTPS Boot, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, změní pořadí spouštění a použije funkci HTTPS Boot.
Kromě uplatnění níže uvedených řešení se zákazníci mohou dále chránit dodržováním doporučených postupů zabezpečení, kdy budou používat pouze zabezpečené sítě a zabrání neoprávněnému místnímu a fyzickému přístupu k zařízením. Zákazníci by také měli povolit funkce zabezpečení platformy, jako je Secure Boot (ve výchozím nastavení povoleno pro platformy Dell se systémem Windows) a heslo správce systému BIOS pro zvýšenou ochranu.

Poznámka: Pokud je funkce Secure Boot zakázána, může to mít vliv na potenciální závažnost související s chybou zabezpečení CVE-2021-21571.
Společnost Dell Technologies všem zákazníkům doporučuje vzít v úvahu základní hodnocení CVSS i všechna související hodnocení v daném čase a prostředí, která mohou mít vliv na potenciální závažnost dané konkrétní bezpečnostní hrozby.
Dotčené produkty a náprava
Chyby CVE-2021-21573 a CVE-2021-21574 byly 28. května 2021 napraveny v komponentech souvisejících s funkcí BIOSConnect na backend serverech společnosti Dell a nevyžadují žádné další kroky zákazníka.

Chyby CVE-2021-21571 a CVE-2021-21572 vyžadují aktualizace klientského systému BIOS Dell, aby byly tyto chyby vyřešeny. V tabulce v části Další informace zjistíte, která verze opraveného klientského systému BIOS Dell je platná pro váš systém. Klientský systém BIOS Dell lze aktualizovat několika způsoby. Pokud k aktualizaci systému BIOS obvykle používáte funkci BIOSConnect, společnost Dell doporučuje použít k aktualizaci systému BIOS jiný způsob, například: Pro ty, kteří nemohou okamžitě použít aktualizace systému BIOS, poskytla společnost Dell také dočasné zmírnění pro zakázání funkcí BIOSConnect a HTTPS Boot. Viz část níže.
Chyby CVE-2021-21573 a CVE-2021-21574 byly 28. května 2021 napraveny v komponentech souvisejících s funkcí BIOSConnect na backend serverech společnosti Dell a nevyžadují žádné další kroky zákazníka.

Chyby CVE-2021-21571 a CVE-2021-21572 vyžadují aktualizace klientského systému BIOS Dell, aby byly tyto chyby vyřešeny. V tabulce v části Další informace zjistíte, která verze opraveného klientského systému BIOS Dell je platná pro váš systém. Klientský systém BIOS Dell lze aktualizovat několika způsoby. Pokud k aktualizaci systému BIOS obvykle používáte funkci BIOSConnect, společnost Dell doporučuje použít k aktualizaci systému BIOS jiný způsob, například: Pro ty, kteří nemohou okamžitě použít aktualizace systému BIOS, poskytla společnost Dell také dočasné zmírnění pro zakázání funkcí BIOSConnect a HTTPS Boot. Viz část níže.
Zástupná řešení a zmírnění následků

Společnost Dell doporučuje všem zákazníkům, aby při nejbližší příležitosti aktualizovali klientský systém BIOS Dell na nejnovější verzi. Zákazníci, kteří se rozhodnou nepoužít aktualizace systému BIOS okamžitě nebo kteří nemohou provést tuto aktualizaci nyní, by měli použít níže uvedené zmírnění.

BIOSConnect:

Zákazníci mohou funkci BIOSConnect zakázat pomocí jedné ze dvou možností:
Možnost 1: Zákazníci mohou funkci BIOSConnect zakázat na stránce nastavení systému BIOS (F2).
Poznámka: Zákazníci mohou možnost BIOSConnect najít v různých nabídkách rozhraní systému BIOS v závislosti na modelu platformy. Níže jsou uvedeny nabídky nastavení systému BIOS typu A a nabídky nastavení systému BIOS typu B.
Nabídka nastavení systému BIOS, typ A: F2 > Update, Recovery > BIOSConnect > přepnout na Off.
Nabídka nastavení systému BIOS, typ B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > zrušit zaškrtnutí možnosti BIOSConnect.
 
2. možnost: Zákazníci mohou vypnout funkci BIOSConnect v systému BIOS pomocí funkce vzdálené správy systému nástroje Dell Command | Configure (DCC).
 
Poznámka: Společnost Dell doporučuje zákazníkům, aby nespouštěli možnost „BIOS Flash Update – Remote“ z nabídky F12, dokud nebude systém aktualizován opravenou verzí systému BIOS.

HTTPS Boot:
Zákazníci mohou funkci HTTPS Boot zakázat pomocí jedné ze dvou možností:
Možnost 1: Zákazníci mohou funkci BIOSConnect zakázat na stránce nastavení systému BIOS (F2).
Nabídka nastavení systému BIOS, typ A: F2 > Connection > HTTP(s) Boot > přepnout na Off.
Nabídka nastavení systému BIOS, typ B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > zrušit zaškrtnutí možnosti BIOSConnect.
2. možnost: Zákazníci mohou vypnout funkci HTTP Boot pomocí funkce vzdálené správy systému nástroje Dell Command | Configure (DCC).

Přijetí

Společnost Dell by ráda poděkovala: Mickey Shkatov a Jesse Michael ze společnosti Eclypsium za nahlášení tohoto problému.

Historie změn

RevizeDatumPopis
1.024. 6. 2021První vydání

Související informace

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Další informace

Níže je uveden seznam dotčených produktů a data vydání a minimální verze systému BIOS, které je třeba použít:   
 

Produkt Verze aktualizace systému BIOS
(nebo vyšší)
Podporuje funkci BIOSConnect Podporuje funkci HTTP(s) Boot Datum vydání (DD/MM/RRRR)
Předpokládané datum vydání (měsíc/rok)
Alienware m15 R6 1.3.3 Ano Ano 21. 6. 2021
ChengMing 3990 1.4.1 Ano Ne 23. 6. 2021
ChengMing 3991 1.4.1 Ano Ne 23. 6. 2021
Dell G15 5510 1.4.0 Ano Ano 21. 6. 2021
Dell G15 5511 1.3.3 Ano Ano 21. 6. 2021
Dell G3 3500 1.9.0 Ano Ne 24. 6. 2021
Dell G5 5500 1.9.0 Ano Ne 24. 6. 2021
Dell G7 7500 1.9.0 Ano Ne 23. 6. 2021
Dell G7 7700 1.9.0 Ano Ne 23. 6. 2021
Inspiron 14 5418 2.1.0 A06 Ano Ano 24. 6. 2021
Inspiron 15 5518 2.1.0 A06 Ano Ano 24. 6. 2021
Inspiron 15 7510 1.0.4 Ano Ano 23. 6. 2021
Inspiron 3501 1.6.0 Ano Ne 23. 6. 2021
Inspiron 3880 1.4.1 Ano Ne 23. 6. 2021
Inspiron 3881 1.4.1 Ano Ne 23. 6. 2021
Inspiron 3891 1.0.11 Ano Ano 24. 6. 2021
Inspiron 5300 1.7.1 Ano Ne 23. 6. 2021
Inspiron 5301 1.8.1 Ano Ne 23. 6. 2021
Inspiron 5310 2.1.0 Ano Ano 23. 6. 2021
Inspiron 5400 2 v 1 1.7.0 Ano Ne 23. 6. 2021
Inspiron 5400 AIO 1.4.0 Ano Ne 23. 6. 2021
Inspiron 5401 1.7.2 Ano Ne 23. 6. 2021
Inspiron 5401 AIO 1.4.0 Ano Ne 23. 6. 2021
Inspiron 5402 1.5.1 Ano Ne 23. 6. 2021
Inspiron 5406 2 v 1 1.5.1 Ano Ne 23. 6. 2021
Inspiron 5408 1.7.2 Ano Ne 23. 6. 2021
Inspiron 5409 1.5.1 Ano Ne 23. 6. 2021
Inspiron 5410 2 v 1 2.1.0 Ano Ano 23. 6. 2021
Inspiron 5501 1.7.2 Ano Ne 23. 6. 2021
Inspiron 5502 1.5.1 Ano Ne 23. 6. 2021
Inspiron 5508 1.7.2 Ano Ne 23. 6. 2021
Inspiron 5509 1.5.1 Ano Ne 23. 6. 2021
Inspiron 7300 1.8.1 Ano Ne 23. 6. 2021
Inspiron 7300 2 v 1 1.3.0 Ano Ne 23. 6. 2021
Inspiron 7306 2 v 1 1.5.1 Ano Ne 23. 6. 2021
Inspiron 7400 1.8.1 Ano Ne 23. 6. 2021
Inspiron 7500 1.8.0 Ano Ne 23. 6. 2021
Inspiron 7500 2 v 1 – černý 1.3.0 Ano Ne 23. 6. 2021
Inspiron 7500 2 v 1 – stříbrný 1.3.0 Ano Ne 23. 6. 2021
Inspiron 7501 1.8.0 Ano Ne 23. 6. 2021
Inspiron 7506 2 v 1 1.5.1 Ano Ne 23. 6. 2021
Inspiron 7610 1.0.4 Ano Ano 23. 6. 2021
Inspiron 7700 AIO 1.4.0 Ano Ne 23. 6. 2021
Inspiron 7706 2 v 1 1.5.1 Ano Ne 23. 6. 2021
Latitude 3120 1.1.0 Ano Ne 23. 6. 2021
Latitude 3320 1.4.0 Ano Ano 23. 6. 2021
Latitude 3410 1.9.0 Ano Ne 23. 6. 2021
Latitude 3420 1.8.0 Ano Ne 23. 6. 2021
Latitude 3510 1.9.0 Ano Ne 23. 6. 2021
Latitude 3520 1.8.0 Ano Ne 23. 6. 2021
Latitude 5310 1.7.0 Ano Ne 24. 6. 2021
Latitude 5310 2 v 1 1.7.0 Ano Ne 24. 6. 2021
Latitude 5320 1.7.1 Ano Ano 21. 6. 2021
Latitude 5320 2 v 1 1.7.1 Ano Ano 21. 6. 2021
Latitude 5410 1.6.0 Ano Ne 23. 6. 2021
Latitude 5411 1.6.0 Ano Ne 23. 6. 2021
Latitude 5420 1.8.0 Ano Ano 22. 6. 2021
Latitude 5510 1.6.0 Ano Ne 23. 6. 2021
Latitude 5511 1.6.0 Ano Ne 23. 6. 2021
Latitude 5520 1.7.1 Ano Ano 21. 6. 2021
Latitude 5521 1.3.0 A03 Ano Ano 22. 6. 2021
Latitude 7210 2 v 1 1.7.0 Ano Ne 23. 6. 2021
Latitude 7310 1.7.0 Ano Ne 23. 6. 2021
Latitude 7320 1.7.1 Ano Ano 23. 6. 2021
Latitude 7320, odnímatelný 1.4.0 A04 Ano Ano 22. 6. 2021
Latitude 7410 1.7.0 Ano Ne 23. 6. 2021
Latitude 7420 1.7.1 Ano Ano 23. 6. 2021
Latitude 7520 1.7.1 Ano Ano 23. 6. 2021
Latitude 9410 1.7.0 Ano Ne 23. 6. 2021
Latitude 9420 1.4.1 Ano Ano 23. 6. 2021
Latitude 9510 1.6.0 Ano Ne 23. 6. 2021
Latitude 9520 1.5.2 Ano Ano 23. 6. 2021
Latitude 5421 1.3.0 A03 Ano Ano 22. 6. 2021
OptiPlex 3080 2.1.1 Ano Ne 23. 6. 2021
OptiPlex 3090 UFF 1.2.0 Ano Ano 23. 6. 2021
OptiPlex 3280 All-in-One 1.7.0 Ano Ne 23. 6. 2021
OptiPlex 5080 1.4.0 Ano Ne 23. 6. 2021
OptiPlex 5090 Tower 1.1.35 Ano Ano 23. 6. 2021
OptiPlex 5490 AIO 1.3.0 Ano Ano 24. 6. 2021
OptiPlex 7080 1.4.0 Ano Ne 23. 6. 2021
OptiPlex 7090 Tower 1.1.35 Ano Ano 23. 6. 2021
OptiPlex 7090 UFF 1.2.0 Ano Ano 23. 6. 2021
OptiPlex 7480 All-in-One 1.7.0 Ano Ne 23. 6. 2021
OptiPlex 7490 All-in-One 1.3.0 Ano Ano 24. 6. 2021
OptiPlex 7780 All-in-One 1.7.0 Ano Ne 23. 6. 2021
Precision 17 M5750 1.8.2 Ano Ne 9. 6. 2021
Precision 3440 1.4.0 Ano Ne 23. 6. 2021
Precision 3450 1.1.35 Ano Ano 24. 6. 2021
Precision 3550 1.6.0 Ano Ne 23. 6. 2021
Precision 3551 1.6.0 Ano Ne 23. 6. 2021
Precision 3560 1.7.1 Ano Ano 21. 6. 2021
Precision 3561 1.3.0 A03 Ano Ano 22. 6. 2021
Precision 3640 1.6.2 Ano Ne 23. 6. 2021
Precision 3650 MT 1.2.0 Ano Ano 24. 6. 2021
Precision 5550 1.8.1 Ano Ne 23. 6. 2021
Precision 5560 1.3.2 Ano Ano 23. 6. 2021
Precision 5760 1.1.3 Ano Ano 16. 6. 2021
Precision 7550 1.8.0 Ano Ne 23. 6. 2021
Precision 7560 1.1.2 Ano Ano 22. 6. 2021
Precision 7750 1.8.0 Ano Ne 23. 6. 2021
Precision 7760 1.1.2 Ano Ano 22. 6. 2021
Vostro 14 5410 2.1.0 A06 Ano Ano 24. 6. 2021
Vostro 15 5510 2.1.0 A06 Ano Ano 24. 6. 2021
Vostro 15 7510 1.0.4 Ano Ano 23. 6. 2021
Vostro 3400 1.6.0 Ano Ne 23. 6. 2021
Vostro 3500 1.6.0 Ano Ne 23. 6. 2021
Vostro 3501 1.6.0 Ano Ne 23. 6. 2021
Vostro 3681 2.4.0 Ano Ne 23. 6. 2021
Vostro 3690 1.0.11 Ano Ano 24. 6. 2021
Vostro 3881 2.4.0 Ano Ne 23. 6. 2021
Vostro 3888 2.4.0 Ano Ne 23. 6. 2021
Vostro 3890 1.0.11 Ano Ano 24. 6. 2021
Vostro 5300 1.7.1 Ano Ne 23. 6. 2021
Vostro 5301 1.8.1 Ano Ne 23. 6. 2021
Vostro 5310 2.1.0 Ano Ano 23. 6. 2021
Vostro 5401 1.7.2 Ano Ne 23. 6. 2021
Vostro 5402 1.5.1 Ano Ne 23. 6. 2021
Vostro 5501 1.7.2 Ano Ne 23. 6. 2021
Vostro 5502 1.5.1 Ano Ne 23. 6. 2021
Vostro 5880 1.4.0 Ano Ne 23. 6. 2021
Vostro 5890 1.0.11 Ano Ano 24. 6. 2021
Vostro 7500 1.8.0 Ano Ne 23. 6. 2021
XPS 13 9305 1.0.8 Ano Ne 23. 6. 2021
XPS 13 2 v 1 9310 2.3.3 Ano Ne 23. 6. 2021
XPS 13 9310 3.0.0 Ano Ne 24. 6. 2021
XPS 15 9500 1.8.1 Ano Ne 23. 6. 2021
XPS 15 9510 1.3.2 Ano Ano 23. 6. 2021
XPS 17 9700 1.8.2 Ano Ne 9. 6. 2021
XPS 17 9710 1.1.3 Ano Ano 15. 6. 2021


Vlastnosti článku


Dotčený produkt

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Produkt

Product Security Information

Datum posledního vydání

15 zář 2021

Verze

5

Typ článku

Dell Security Advisory