PowerEdge: Dell EMC iDRAC – Mehrere Sicherheitslücken (CVE-2018-15774 und CVE-2018-15776)

CVE-Kennzeichnung: Schweregrad CVE-2018-15774, CVE-2018-15776

: Mittel

Betroffene Produkte:

• Dell EMC iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 (CVE-2018-15774 und CVE-2018-15776)
• Dell EMC iDRAC9-Versionen vor 3.20.21.20, 3.21.24.22, 3.21.26.22 und 3.23.23.23 (CVE-2018-15774)

Zusammenfassung: 
Dell EMC iDRAC wurde aktualisiert, um mehrere Sicherheitslücken zu beheben, die ausgenutzt werden und die betroffenen Systeme beeinträchtigen können.
 
Details: 

• Sicherheitslücke – Rechteerweiterung (CVE-2018-15774)

• Sicherheitslücke – Unangemessene Fehlerhandhabung (CVE-2018-15776)

.

Lösung:   
Die folgenden Dell EMC iDRAC-Firmware-Versionen enthalten Lösungen für diese Sicherheitslücken:

Dell Technologies empfiehlt allen Kunden, so bald wie möglich ein Upgrade durchzuführen. 

Dell EMC Best Practices in Bezug auf iDRAC:

Um die iDRAC-Firmware auf dem neuesten Stand zu halten, empfiehlt Dell EMC außerdem Folgendes:

• iDRACs sind nicht darauf ausgelegt, ins Internet gestellt oder mit dem Internet verbunden zu werden; sie sollten sich in einem separaten Verwaltungsnetzwerk befinden. Befinden sich iDRACs direkt im Internet oder sind mit diesem verbunden, können dadurch Sicherheitsrisiken und andere Risiken für das verbundene System entstehen, für die Dell EMC nicht verantwortlich ist.  
• Über das Einrichten eines separaten Verwaltungs-Subnetzes für iDRACs hinaus sollten Benutzer das Verwaltungs-Subnetz/vLAN mit Technologien wie Firewalls schützen und den Zugriff auf das Subnetz/vLAN auf autorisierte Server-Administratoren beschränken.
• Dell Technologies empfiehlt Kunden, alle Bereitstellungsfaktoren zu berücksichtigen, die für ihre Umgebung relevant sein könnten, um ihr Gesamtrisiko zu bewerten.

Link zu den empfohlenen Maßnahmen:

Kunden können iDRAC-Firmware für PowerEdge-Server herunterladen und für alle anderen Plattformen die Plattform von der Dell Support-Website auswählen.

Danksagung:

CVE-2018-15776: Dell EMC bedankt sich bei Jon Sands und Adam Nielsen für die Meldung dieses Problems.

Dell Technologies empfiehlt allen NutzerInnen, die Anwendbarkeit dieser Informationen auf ihre individuelle Situation zu ermitteln und entsprechende Maßnahmen zu ergreifen. Die hier festgelegte Information werden „wie besehen“ bereitgestellt, ohne jegliche Gewährleistung. Dell EMC übernimmt keinerlei ausdrückliche oder stillschweigende Gewährleistungen, einschließlich der Gewährleistung der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell EMC oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell EMC oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.