Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Dell EMC iDRAC – Mehrere Sicherheitslücken (CVE-2018-15774 und CVE-2018-15776)

Summary: Leitfaden von Dell EMC zur Eindämmung von Risiken und Lösung für die verschiedenen iDRAC-Sicherheitslücken. Weitere Informationen zu betroffenen iDRAC-Versionen und weitere Schritte zur Anwendung der Aktualisierungen finden Sie in diesem Handbuch. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

CVE-Kennzeichnung: CVE-2018-15774, CVE-2018-15776

Schweregrad: Mittlere

betroffene Produkte:
  • Dell EMC iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 (CVE-2018-15774 und CVE-2018-15776)
  • Dell EMC iDRAC9-Versionen vor 3.20.21.20, 3.21.24.22, 3.21.26.22 und 3.23.23.23 (CVE-2018-15774)
Zusammenfassung: 
Dell EMC iDRAC wurde aktualisiert, um mehrere Sicherheitslücken zu beheben, die ausgenutzt werden und die betroffenen Systeme beeinträchtigen können.
 
Details: 
  • Sicherheitslücke – Rechteerweiterung (CVE-2018-15774)
Dell EMC iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 und iDRAC9-Versionen vor 3.20.21.20, 3.21.24.22, 3.21.26.22 und 3.23.23.23 enthalten eine Sicherheitslücke im Zusammenhang mit der Erweiterung von Rechten. Ein authentifizierter böswilliger iDRAC-Benutzer mit Operator-Berechtigungen könnte einen Fehler bei der Berechtigungsüberprüfung in der Redfish-Schnittstelle ausnutzen, um Administratorrechte zu bekommen.
 
 
  • Sicherheitslücke – Unangemessene Fehlerhandhabung (CVE-2018-15776)
Bei Dell EMC iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 tritt eine Sicherheitslücke im Zusammenhang mit der unangemessenen Handhabung von Fehlern auf. Ein nicht authentifizierter Angreifer mit physischem Zugriff auf das System kann diese Sicherheitslücke möglicherweise ausnutzen, um Zugriff auf die u-Boot-Shell zu bekommen.
 
SLN315190_en_US__1icon Hinweis: Andere Modelle von iDRAC sind von den oben beschriebenen Sicherheitslücken nicht betroffen.

Lösung:   
Die folgenden Dell EMC iDRAC-Firmware-Versionen enthalten Lösungen für diese Sicherheitslücken:

 
iDRAC iDRAC-Firmware-Version

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Hinweis: Ab dem Veröffentlichungsdatum verfügbar.

Dell EMC empfiehlt allen Kunden, bei der nächsten Gelegenheit ein Upgrade durchzuführen. 

Dell EMC Best Practices in Bezug auf iDRAC:

Um die iDRAC-Firmware auf dem neuesten Stand zu halten, empfiehlt Dell EMC außerdem Folgendes:

  • iDRACs sind nicht darauf ausgelegt, ins Internet gestellt oder mit dem Internet verbunden zu werden; sie sollten sich in einem separaten Verwaltungsnetzwerk befinden. Befinden sich iDRACs direkt im Internet oder sind mit diesem verbunden, können dadurch Sicherheitsrisiken und andere Risiken für das verbundene System entstehen, für die Dell EMC nicht verantwortlich ist.  
  • Über das Einrichten eines separaten Verwaltungs-Subnetzes für iDRACs hinaus sollten Benutzer das Verwaltungs-Subnetz/vLAN mit Technologien wie Firewalls schützen und den Zugriff auf das Subnetz/vLAN auf autorisierte Server-Administratoren beschränken.
  • Dell EMC empfiehlt, dass Kunden die Faktoren der Bereitstellung berücksichtigen, die für Ihre Umgebung relevant sind, um das Gesamtrisiko zu bewerten.

Link zu den empfohlenen Maßnahmen:

Kunden können iDRAC-Firmware für PowerEdge-Server und für alle anderen Plattformen herunterladen; wählen Sie die Plattform auf der Dell Support-Website aus.


Danksagung:

CVE-2018-15776: Dell EMC möchte Jon Sands und Adam Nielsen dafür danken, dass sie uns dieses Problem gemeldet haben.

Dell EMC empfiehlt allen Benutzern die Anwendbarkeit dieser Informationen auf ihre individuellen Situationen zu prüfen und entsprechende Maßnahmen einzuleiten. Die hier festgelegte Information werden „wie besehen“ bereitgestellt, ohne jegliche Gewährleistung. Dell EMC übernimmt keinerlei Garantien, ausdrücklicher oder stillschweigender Art, einschließlich der Garantien der Marktgängigkeit, Eignung für einen bestimmten Zweck, des Rechtsanspruches oder der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell EMC oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell EMC oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top