Identificateur CVE : CVE-2018-15774, CVE-2018-15776
Gravité: Produits
concernés detaille moyenne:
- Versions iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 (CVE-2018-15774 et CVE-2018-15776)
- Versions iDRAC9 Dell EMC antérieures à 3.20.21.20, 3.21.24.22, 3.21.26.22 et 3.23.23.23 (CVE-2018-15774)
Résumé :
Le module iDRAC Dell EMC a été mis à jour afin de résoudre plusieurs vulnérabilités qui peuvent potentiellement être exploitées pour compromettre les systèmes concernés.
Détails :
- Vulnérabilité de l’escalade des privilèges (CVE-2018-15774)
Les versions des modules iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 et les versions du module iDRAC9 antérieures à 3.20.21.20, 3.21.24.22, 3.21.26.22 et 3.23.23.23 contiennent une vulnérabilité d’escalade des privilèges. Un utilisateur malveillant authentifié sur iDRAC avec des privilèges d’opérateur pourrait exploiter une faille de la vérification des autorisations dans l’interface Redfish pour obtenir un accès administrateur.
- Vulnérabilité de traitement des erreurs (CVE-2018-15776)
Les versions des modules iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 contiennent une vulnérabilité impliquant un traitement incorrect des erreurs. Un pirate non authentifié disposant d’un accès physique au système pourrait exploiter cette vulnérabilité pour accéder à l’interpréteur de commandes u-boot.
Remarque : Les autres modèles d’iDRAC ne sont pas affectés par les vulnérabilités décrites ci-dessus.
Résolution :
Les versions suivantes du micrologiciel iDRAC Dell EMC intègrent une solution pour contrer ces vulnérabilités :
iDRAC |
Version du micrologiciel iDRAC |
iDRAC9
|
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
Remarque : Disponible à la date de publication.
Dell EMC recommande à tous les clients d’effectuer la mise à niveau dès que possible.
Pratiques d’excellence Dell EMC concernant le contrôleur iDRAC :
Outre une mise à jour régulière du micrologiciel iDRAC, Dell EMC recommande également de tenir compte des remarques suivantes :
- iDRAC n’est ni conçu ni destiné à être placé sur Internet ou à y être connecté ; il est destiné à être installé sur un réseau de gestion distinct. Le fait de placer ou de connecter le contrôleur iDRAC directement sur Internet peut exposer le système connecté à des menaces de sécurité et à d’autres risques pour lesquels Dell EMC décline toute responsabilité.
- L’utilisateur est donc invité à installer les contrôleurs iDRAC sur un sous-réseau de gestion distinct, à isoler ce réseau/VLAN des technologies de type pare-feu et à limiter l’accès au sous-réseau/VLAN aux seuls administrateurs de serveurs autorisés.
- Dell EMC recommande aux clients de prendre en compte tout facteur de déploiement qui pourrait s’appliquer à leur environnement pour évaluer leur risque global.
Lien vers les solutions :
Les clients peuvent télécharger le micrologiciel iDRAC pour les serveurs PowerEdge ainsi que pour toutes les autres plateformes. Veuillez sélectionner la plateforme sur le site de support Dell.
Crédits :
CVE-2018-15776: Dell EMC souhaiterait nous remercier de nous avoir signalé ce problème à JonEdge et AdamDicte.
Dell EMC recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell EMC décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. Dell EMC ou ses fournisseurs ne peuvent en aucun cas être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accidentels, consécutifs, la perte de bénéfices commerciaux ou dommages spéciaux, même si Dell EMC ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.