DSA-2019-040: Dell EMC VxRack Flex Security Update for Multiple Hardware Appliance Firmware Vulnerabilities


alert-notice

Medium

Udgivet første gang: 25 FEB. 2019
Sidste opdatering:   17 SEP. 2020

CVE-id('er)

Oversigt

Klassifikation af alvorsgrad (CVSS-grundscore)

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Summary:  
Dell EMC iDRAC (Integrated Dell Remote Access Controller) in VxRACK Flex, requires a security update to address multiple vulnerabilities.

Oplysninger

  • Privilege Escalation Vulnerability

CVE-2018-15774

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 and iDRAC9 versions prior to 3.20.21.20, 3.21.24.22, 3.21.26.22, and 3.23.23.23 contain a privilege escalation vulnerability. An authenticated malicious iDRAC user with operator privileges may potentially exploit a permissions check flaw in the Redfish interface to gain administrator access.

  • Improper Error Handling Vulnerability

CVE-2018-15776

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 contain an improper error handling vulnerability. An unauthenticated attacker with physical access to the system may potentially exploit this vulnerability to get access to the u-boot shell.

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Filled_Alert_Notice_Symbol   Ansvarsfraskrivelse (alvorsgrad)

Hvis du vil have en forklaring på klassificeringer af alvorsgrader, kan du se Dell EMC Knowledge Base-artiklen 468307. Dell EMC anbefaler, at alle kunder tager hensyn til både basisresultatet og alle relevante tidsmæssige og miljømæssige resultater, hvilket kan have betydning for den potentielle alvorsgrad, der er forbundet med en bestemt sikkerhedsrisiko.

Anbefalinger

Affected products:  
Dell EMC VxRACK Flex system RCM releases 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1
Dell EMC VxRACK Flex system RCM releases 3.2.1 to 3.2.7
Dell EMC VxRACK Flex system RCM releases 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4

Remediation:
The following Dell EMC VxRack System Flex releases address these issues: 

  • For customers who are on RCMs 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1, upgrade to RCM 3.0.13.1

  • For customers who are on RCMs 3.2.1 to 3.2.7, upgrade to RCM 3.2.7.1

  • For customers who are on RCMs 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4, upgrade to RCM 3.3.4.1

 Dell EMC recommends all customers upgrade at the earliest opportunity.

Customers can download software and firmware updates from Dell EMC Online Support at https://cpsdocs.dellemc.com/rcm/#/home.

Læs og brug oplysningerne i denne Dell EMC-sikkerhedsmeddelelse som en hjælp til at undgå enhver situation, der måtte opstå som følge af de problemer, der er beskrevet heri. Hvis du har spørgsmål om denne produktadvarsel, skal du kontakte teknisk support for Dell EMC-software på 1-877-534-2867. Dell EMC distribuerer Dell EMC-sikkerhedsbulletiner for at gøre brugerne af de berørte Dell EMC-produkter opmærksomme på vigtige sikkerhedsoplysninger. Dell EMC anbefaler, at alle brugere vurderer, om disse oplysninger er relevante for deres individuelle situationer, og træffer de nødvendige foranstaltninger. De oplysninger, der fremgår heri, leveres "som de er" uden nogen form for garanti. Dell EMC fraskriver sig alle garantier, både udtrykkelige og underforståede, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse af ophavsret. Dell EMC eller dennes leverandører er under ingen omstændigheder ansvarlig for nogen form for skader, hverken direkte, indirekte, hændelige skader, følgeskader, tab af virksomhedsoverskud eller særlige skader, selv hvis Dell EMC eller dennes leverandører er blevet informeret om muligheden for sådanne skader. Nogle stater tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, og ovenstående begrænsning gælder derfor muligvis ikke.