Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Dell EMC iDRAC - useita haavoittuvuuksia (CVE-2018-15774 ja CVE-2018-15776)

Summary: Dell EMC:n ohjeet useiden iDRAC-ohjauskoneiden haavoittuvuuksien riskien vähentämiseen ja tilanteen korjaamiseen. Katso tästä oppaasta tarkat tiedot iDRAC-versioista, joihin ongelma vaikuttaa, ja päivitysten asentamisesta. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

CVE-tunniste: CVE-2018-15774, CVE-2018-15776-

vakavuusaste: Keskitason

tuotteet, joita ongelma koskee:
  • Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio (CVE-2018-15774 ja CVE-2018-15776)
  • Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin 3.20.21.20-, 3.21.24.22-, 3.21.26.22- ja 3.23.23.23-versio (CVE-2018-15774)
Yhteenveto
Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.
 
Tiedot
  • Oikeuksien laajentumishaavoittuvuus (CVE-2018-15774)
Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio, ja iDRAC9-versiot, jotka ovat vanhempia kuin 3.20.21.20-, 3.21.24.22-, 3.21.26.22- ja 3.23.23.23-versiot, sisältävät oikeuksien laajentumishaavoittuvuuden. Todennettu iDRAC-käyttäjä, jolla on käyttäjän oikeudet, voi mahdollisesti hyödyntää Redfish-liittymän oikeuksien tarkistusvirhettä ja saada itselleen järjestelmänvalvojan oikeudet.
 
 
  • Virheellisen virheenkäsittelyn haavoittuvuus (CVE-2018-15776)
Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio, sisältävät virheelliseen virheenkäsittelyyn liittyvän haavoittuvuuden. Todentamaton hyökkääjä, joka pääsee fyysisesti käsiksi järjestelmään, pystyy mahdollisesti hyödyntämään tätä haavoittuvuutta ja pääsemään käsiksi U-Boot-liittymään.
 
SLN315190_en_US__1icon Huomautus: Edellä mainitut haavoittuvuudet eivät vaikuta muihin iDRAC-malleihin.

Ratkaisu:   
Seuraavat Dell EMC iDRAC -laiteohjelmistojulkaisut sisältävät korjauksen näihin haavoittuvuuksiin:

 
iDRAC iDRAC-laiteohjelmistoversio

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Huomautus: Saatavilla julkaisupäivästä alkaen.

Dell EMC suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian. 

Dell EMC:n parhaat iDRAC-käytännöt:

Dell EMC suosittelee iDRAC-laiteohjelmiston pitämistä ajan tasalla ja lisäksi seuraavia:

  • iDRAC-ohjauskoneita ei ole tarkoitettu sijoitettaviksi Internetiin tai olemaan yhteydessä Internetiin. Ne on tarkoitus sijoittaa erilliseen hallintaverkkoon. iDRAC-ohjauskoneiden sijoittaminen tai yhdistäminen suoraan Internetiin voi altistaa yhdistetyn järjestelmän suojausriskeille ja muille riskeille, joista Dell EMC ei ole vastuussa.  
  • Käyttäjien on sijoitettava iDRAC-ohjauskoneet erilliseen hallinta-aliverkkoon ja lisäksi eristettävä hallinta-aliverkko/vLAN esimerkiksi palomuurin kaltaisilla tekniikoilla ja rajoitettava aliverkon/vLAN-verkon käyttöoikeus valtuutetuille palvelinten järjestelmänvalvojille.
  • Dell EMC suosittelee, että asiakkaat huomioivat riskiä arvioidessaan mahdolliset ympäristöä koskevat käyttöönottotekijät.

Linkki korjauksiin:

Asiakkaat voivat ladata iDRAC-laiteohjelmiston PowerEdge-palvelimille ja kaikille muille ympäristöille. Valitse ympäristö Dellin tukisivustossa.


Kiitokset:

CVE-2018-15776: Dell EMC kiittää Dell Sandsia ja Adam Ergonomia, jotka ovat ilmoittaneet tästä ongelmasta meille.

Dell EMC suosittelee, että kaikki käyttäjät määrittävät näiden tietojen soveltuvuuden omaan tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell EMC sanoutuu irti kaikista nimenomaisista tai oletetuista takuista, mukaan lukien takuut myyntikelpoisuudesta, soveltuvuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell EMC tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dell EMC:lle tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, joten edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top