Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Diverses vulnérabilités de l’iDRAC Dell EMC (CVE-2018-15774 et CVE-2018-15776)

Summary: Conseils de Dell EMC pour limiter les risques et résoudre les problèmes de vulnérabilités du système iDRAC. Pour des informations spécifiques relatives aux versions iDRAC concernées et les étapes suivantes pour appliquer les mises à jour, reportez-vous à ce guide. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Identificateur CVE : CVE-2018-15774, CVE-2018-15776

Gravité: Produits

concernés detaille moyenne:
  • Versions iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 (CVE-2018-15774 et CVE-2018-15776)
  • Versions iDRAC9 Dell EMC antérieures à 3.20.21.20, 3.21.24.22, 3.21.26.22 et 3.23.23.23 (CVE-2018-15774)
Résumé
Le module iDRAC Dell EMC a été mis à jour afin de résoudre plusieurs vulnérabilités qui peuvent potentiellement être exploitées pour compromettre les systèmes concernés.
 
Détails
  • Vulnérabilité de l’escalade des privilèges (CVE-2018-15774)
Les versions des modules iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 et les versions du module iDRAC9 antérieures à 3.20.21.20, 3.21.24.22, 3.21.26.22 et 3.23.23.23 contiennent une vulnérabilité d’escalade des privilèges. Un utilisateur malveillant authentifié sur iDRAC avec des privilèges d’opérateur pourrait exploiter une faille de la vérification des autorisations dans l’interface Redfish pour obtenir un accès administrateur.
 
 
  • Vulnérabilité de traitement des erreurs (CVE-2018-15776)
Les versions des modules iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 contiennent une vulnérabilité impliquant un traitement incorrect des erreurs. Un pirate non authentifié disposant d’un accès physique au système pourrait exploiter cette vulnérabilité pour accéder à l’interpréteur de commandes u-boot.
 
SLN315190_en_US__1icon Remarque : Les autres modèles d’iDRAC ne sont pas affectés par les vulnérabilités décrites ci-dessus.

Résolution :   
Les versions suivantes du micrologiciel iDRAC Dell EMC intègrent une solution pour contrer ces vulnérabilités :

 
iDRAC Version du micrologiciel iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Remarque : Disponible à la date de publication.

Dell EMC recommande à tous les clients d’effectuer la mise à niveau dès que possible. 

Pratiques d’excellence Dell EMC concernant le contrôleur iDRAC :

Outre une mise à jour régulière du micrologiciel iDRAC, Dell EMC recommande également de tenir compte des remarques suivantes :

  • iDRAC n’est ni conçu ni destiné à être placé sur Internet ou à y être connecté ; il est destiné à être installé sur un réseau de gestion distinct. Le fait de placer ou de connecter le contrôleur iDRAC directement sur Internet peut exposer le système connecté à des menaces de sécurité et à d’autres risques pour lesquels Dell EMC décline toute responsabilité.  
  • L’utilisateur est donc invité à installer les contrôleurs iDRAC sur un sous-réseau de gestion distinct, à isoler ce réseau/VLAN des technologies de type pare-feu et à limiter l’accès au sous-réseau/VLAN aux seuls administrateurs de serveurs autorisés.
  • Dell EMC recommande aux clients de prendre en compte tout facteur de déploiement qui pourrait s’appliquer à leur environnement pour évaluer leur risque global.

Lien vers les solutions :

Les clients peuvent télécharger le micrologiciel iDRAC pour les serveurs PowerEdge ainsi que pour toutes les autres plateformes. Veuillez sélectionner la plateforme sur le site de support Dell.


Crédits :

CVE-2018-15776: Dell EMC souhaiterait nous remercier de nous avoir signalé ce problème à JonEdge et AdamDicte.

Dell EMC recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell EMC décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. Dell EMC ou ses fournisseurs ne peuvent en aucun cas être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accidentels, consécutifs, la perte de bénéfices commerciaux ou dommages spéciaux, même si Dell EMC ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.

Cause

 

Resolution



Affected Products

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910
Article Properties
Article Number: 000177031
Article Type: Solution
Last Modified: 17 Dec 2021
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.