DSA-2019-040: Dell EMC VxRack Flex Security Update for Multiple Hardware Appliance Firmware Vulnerabilities


alert-notice

Medium

Erstveröffentlichung: 25 FEB 2019
Letzte Aktualisierung:   17 SEP 2020

CVE-ID(s)

Übersicht

Schweregradbewertung (CVSS-Gesamtbewertung)

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Summary:  
Dell EMC iDRAC (Integrated Dell Remote Access Controller) in VxRACK Flex, requires a security update to address multiple vulnerabilities.

Details

  • Privilege Escalation Vulnerability

CVE-2018-15774

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 and iDRAC9 versions prior to 3.20.21.20, 3.21.24.22, 3.21.26.22, and 3.23.23.23 contain a privilege escalation vulnerability. An authenticated malicious iDRAC user with operator privileges may potentially exploit a permissions check flaw in the Redfish interface to gain administrator access.

  • Improper Error Handling Vulnerability

CVE-2018-15776

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 contain an improper error handling vulnerability. An unauthenticated attacker with physical access to the system may potentially exploit this vulnerability to get access to the u-boot shell.

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Filled_Alert_Notice_Symbol   Haftungsausschluss für Schweregrade

Eine Erläuterung der Schweregradbewertungen finden Sie im Dell EMC Knowledge Base Artikel 468307. Dell EMC empfiehlt allen Kunden, sowohl die Gesamtbewertung als auch alle relevanten zeitlichen und umweltbezogenen Bewertungen zu berücksichtigen, die sich auf den potenziellen Schweregrad einer bestimmten Sicherheitsschwachstelle auswirken können.

Empfehlungen

Affected products:  
Dell EMC VxRACK Flex system RCM releases 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1
Dell EMC VxRACK Flex system RCM releases 3.2.1 to 3.2.7
Dell EMC VxRACK Flex system RCM releases 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4

Remediation:
The following Dell EMC VxRack System Flex releases address these issues: 

  • For customers who are on RCMs 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1, upgrade to RCM 3.0.13.1

  • For customers who are on RCMs 3.2.1 to 3.2.7, upgrade to RCM 3.2.7.1

  • For customers who are on RCMs 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4, upgrade to RCM 3.3.4.1

 Dell EMC recommends all customers upgrade at the earliest opportunity.

Customers can download software and firmware updates from Dell EMC Online Support at https://cpsdocs.dellemc.com/rcm/#/home.

Lesen und verwenden Sie die Informationen in diesem Dell EMC Sicherheitsratgeber, um Situationen zu vermeiden, die sich aus den hier beschriebenen Problemen ergeben können. Wenn Sie Fragen zu diesem Produkthinweis haben, wenden Sie sich unter 1-877-534-2867 an den technischen Support von Dell EMC Software. Dell EMC vertreibt Dell EMC Sicherheitsratgeber, um die Benutzer der betroffenen Dell EMC Produkte auf wichtige Sicherheitsinformationen aufmerksam zu machen. Dell EMC empfiehlt allen Benutzern, die Anwendbarkeit dieser Informationen in Bezug auf ihre individuellen Situationen zu bestimmen und entsprechende Maßnahmen zu ergreifen. Die hier dargelegten Informationen werden ohne jegliche Gewährleistung „wie besehen“ bereitgestellt. Dell EMC schließt jegliche Garantien aus, weder ausdrücklich noch stillschweigend, einschließlich der Garantie der Marktgängigkeit, Eignung für einen bestimmten Verwendungszweck, Eigentumsrechte und Nichtverletzung der Rechte Dritter. In keinem Fall haftet Dell EMC oder entsprechende Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter und zufälliger Schäden sowie Folgeschäden, entgangenen Geschäftsgewinnen oder Sonderschäden, selbst wenn Dell EMC oder entsprechende Lieferanten über die Möglichkeit solcher Schäden informiert wurden. In einigen Ländern ist der Ausschluss oder die Einschränkung der Haftung für Folgeschäden oder beiläufige Beschädigungen nicht zulässig, sodass die vorstehende Beschränkung möglicherweise nicht gültig ist.