Dell EMC flere iDRAC-sikkerhedsrisici (CVE-2018-15774 og CVE-2018-15776)

• Dell EMC iDRAC7/iDRAC8-versioner før 2.61.60.60 (CVE-2018-15774 og CVE-2018-15776)
• Dell EMC iDRAC9-versioner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 (CVE-2018-15774)

• Sikkerhedsrisiko for rettighedseskalering (CVE-2018-15774)

• Sikkerhedsrisiko for forkert fejlhåndtering (CVE-2018-15776)

Bemærk: Andre modeller af iDRAC påvirkes ikke af sårbarhederne, der er beskrevet ovenfor.

Løsning:   
Følgende Dell EMC iDRAC-firmwareudgivelser indeholder løsninger på disse sikkerhedsrisici:

Bemærk: Tilgængelig fra udgivelsesdatoen.

Dell EMC anbefaler alle kunder at opgradere hurtigst muligt. 

Best practices fra Dell EMC vedrørende iDRAC:

Ud over vedligeholdelse af opdateret iDRAC-firmware anbefaler Dell EMC også følgende:

• iDRAC er ikke designet eller beregnet til at blive placeret på eller forbundet til internettet. Det er beregnet til brug i et separat administrationsnetværk. Direkte placering af iDRAC på eller tilslutning af iDRAC til internettet kan udsætte det tilsluttede system for sikkerhedsrisici og andre risici, som Dell EMC ikke kan gøres ansvarlig for.  
• Ud over at placere iDRAC på et separat administrationsundernet skal brugere isolere administrationsundernettet/VLAN med teknologier som f. eks. firewalls og begrænse adgangen til undernettet/VLAN til autoriserede serveradministratorer.
• Dell EMC anbefaler, at kunderne tager højde for eventuelle implementeringsfaktorer, der kan være relevante for deres miljø, og vurdere deres samlede risiko.

Link til afhjælpende foranstaltninger:

Kunder kan downloade iDRAC-firmware til PowerEdge-servere og alle andre platforme. Vælg platformen på Dells supportwebsted.

Tak til:

CVE-2018-15776: Dell EMC vil gerne takke Mapper Sands og Adam Adam for at indberette dette problem til os.

Dell EMC anbefaler, at alle brugere bestemmer anvendeligheden af disse oplysninger med henblik på deres individuelle situationer og træffer de nødvendige foranstaltninger. Oplysningerne heri videresendes "som de er og forefindes" uden nogen form for garanti. Dell EMC fraskriver sig enhver garanti, udtrykkelig eller underforstået, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse. Under ingen omstændigheder kan Dell EMC eller dets leverandører gøres erstatningsansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige og specielle skader samt følgeskader og tab af indtjening, selvom Dell EMC eller dets leverandører er blevet underrettet om muligheden for sådanne skader. Visse lande tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, så ovenstående begrænsning gælder muligvis ikke.