Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Diverse vulnerabilità di Dell EMC iDRAC (CVE-2018-15774 e CVE-2018-15776)

Summary: Guida di Dell EMC per ridurre i rischi e risoluzione per varie vulnerabilità di iDRAC. Per informazioni specifiche sulle versioni iDRAC interessate e i passaggi successivi per applicare gli aggiornamenti, consultare questa guida. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

ID CVE: Gravità CVE-2018-15774, CVE-2018-15776:

Prodotti interessati di medie

dimensioni:
  • Versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 (CVE-2018-15774 e CVE-2018-15776)
  • Versioni di Dell EMC iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 (CVE-2018-15774)
Riepilogo 
Dell EMC iDRAC è stato aggiornato per risolvere diverse vulnerabilità che possono essere potenzialmente sfruttate per compromettere i sistemi interessati.
 
Dettagli 
  • Vulnerabilità legata all'escalation dei privilegi (CVE-2018-15774)
Le versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 e le versioni di iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contengono una vulnerabilità legata all'escalation dei privilegi. Un utente iDRAC malintenzionato autenticato con privilegi di operatore potrebbe sfruttare potenzialmente un difetto del controllo delle autorizzazioni nell'interfaccia Redfish per ottenere l'accesso come amministratore.
 
 
  • Vulnerabilità legata alla gestione impropria degli errori (CVE-2018-15776)
Le versioni Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 contengono una vulnerabilità legata alla gestione impropria degli errori. Un utente malintenzionato non autenticato con accesso fisico al sistema potrebbe sfruttare potenzialmente questa vulnerabilità per ottenere l'accesso alla shell u-boot.
 
SLN315190_en_US__1icon Nota: Altri modelli di iDRAC non sono interessati dalle vulnerabilità descritte in precedenza.

Risoluzione:   
Le seguenti versioni firmware di Dell EMC iDRAC contengono le risoluzioni per queste vulnerabilità:

 
iDRAC Versione firmware di iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Nota: Disponibile alla data di pubblicazione.

Dell EMC consiglia a tutti i clienti di effettuare l'aggiornamento il più presto possibile. 

Procedure consigliate di Dell EMC relative a iDRAC:

Oltre all'aggiornamento del firmware iDRAC, Dell EMC consiglia anche quanto riportato di seguito:

  • iDRAC non è progettato né destinato alla pubblicazione o connessione a Internet, ma a una rete di gestione separata. La pubblicazione o la connessione diretta di iDRAC a Internet potrebbe esporre il sistema connesso a rischi legati alla sicurezza e di altro tipo per i quali Dell EMC non è responsabile.  
  • Oltre a posizionare iDRAC in una sottorete di gestione separata, gli utenti dovrebbero isolare la sottorete di gestione/vLAN con tecnologie come i firewall e limitarne l'accesso agli amministratori del server autorizzati.
  • Dell EMC consiglia ai clienti di tenere conto di ogni fattore di implementazione che possa essere rilevante per il loro ambiente operativo al fine di valutare il rischio complessivo.

Collegamento alle soluzioni:

I clienti possono scaricare il firmware iDRAC per i server PowerEdge e per tutte le altre piattaforme; selezionare la piattaforma dal sito del supporto Dell.


Ringraziamenti:

CVE-2018-15776: Dell EMC desidera ringraziare Jon Sands e Adam – che ci hanno segnalato questo problema.

Dell EMC consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell EMC nega tutte le garanzie e responsabilità, espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell EMC o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell EMC o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top