DSA-2019-040: Dell EMC VxRack Flex Security Update for Multiple Hardware Appliance Firmware Vulnerabilities


alert-notice

Medium

První vydání: 25 ÚNO 2019
Poslední aktualizace:   17 ZÁŘ 2020

CVE ID(s)

Přehled

Hodnocení stupně závažnosti (základní hodnocení CVSS)

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Summary:  
Dell EMC iDRAC (Integrated Dell Remote Access Controller) in VxRACK Flex, requires a security update to address multiple vulnerabilities.

Podrobnosti

  • Privilege Escalation Vulnerability

CVE-2018-15774

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 and iDRAC9 versions prior to 3.20.21.20, 3.21.24.22, 3.21.26.22, and 3.23.23.23 contain a privilege escalation vulnerability. An authenticated malicious iDRAC user with operator privileges may potentially exploit a permissions check flaw in the Redfish interface to gain administrator access.

  • Improper Error Handling Vulnerability

CVE-2018-15776

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 contain an improper error handling vulnerability. An unauthenticated attacker with physical access to the system may potentially exploit this vulnerability to get access to the u-boot shell.

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Filled_Alert_Notice_Symbol   Prohlášení o závažnosti

Vysvětlení stupně závažnosti naleznete v článku databáze znalostí společnosti Dell EMC 468307. Společnost Dell EMC všem zákazníkům doporučuje vzít v úvahu základní hodnocení i všechna související hodnocení v daném čase a prostředí, která mohou mít vliv na potenciální závažnost dané konkrétní bezpečnostní hrozby.

Doporučení

Affected products:  
Dell EMC VxRACK Flex system RCM releases 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1
Dell EMC VxRACK Flex system RCM releases 3.2.1 to 3.2.7
Dell EMC VxRACK Flex system RCM releases 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4

Remediation:
The following Dell EMC VxRack System Flex releases address these issues: 

  • For customers who are on RCMs 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1, upgrade to RCM 3.0.13.1

  • For customers who are on RCMs 3.2.1 to 3.2.7, upgrade to RCM 3.2.7.1

  • For customers who are on RCMs 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4, upgrade to RCM 3.3.4.1

 Dell EMC recommends all customers upgrade at the earliest opportunity.

Customers can download software and firmware updates from Dell EMC Online Support at https://cpsdocs.dellemc.com/rcm/#/home.

Přečtěte si a využijte informace uvedené v tomto bezpečnostním zpravodaji společnosti Dell EMC, díky nimž můžete předejít zde popsaným problémům. V případě dotazů na upozornění týkající se tohoto produktu se obraťte na softwarovou technickou podporu společnosti Dell EMC na čísle 1 877 534 2867. Společnost Dell EMC rozesílá bezpečnostní zpravodaje Dell EMC s cílem upozornit uživatele dotčených produktů Dell EMC na důležité informace týkající se bezpečnosti. Společnost Dell EMC doporučuje všem uživatelům zjistit, jestli jsou pro ně tyto informace relevantní, a podniknout příslušné kroky. Informace uvedené v tomto dokumentu se poskytují „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell EMC odmítá veškeré záruky, výslovné nebo odvozené, včetně záruky obchodovatelnosti, vhodnosti pro konkrétní účel, nároků a dodržení zákonů. Společnost Dell EMC ani její dodavatelé v žádném případě nenesou odpovědnost za jakékoli přímé, nepřímé, náhodné či následné škody, ztrátu zisku nebo zvláštní škody, a to ani v případě, že společnost Dell EMC nebo její dodavatelé byli upozorněni na možnost takových škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, proto výše uvedené omezení nemusí platit.