PowerEdge: Diverse vulnerabilità di Dell EMC iDRAC (CVE-2018-15774 e CVE-2018-15776)
Summary: Guida di Dell EMC per ridurre i rischi e risoluzione per varie vulnerabilità di iDRAC. Per informazioni specifiche sulle versioni di iDRAC interessate e sui passaggi successivi per applicare gli aggiornamenti, consultare questa guida. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
ID CVE: CVE-2018-15774, CVE-2018-15776
Gravità: Prodotti mediamente
interessati:
- Versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 (CVE-2018-15774 e CVE-2018-15776)
- Versioni di Dell EMC iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 (CVE-2018-15774)
Summary:
Dell EMC iDRAC è stato aggiornato per risolvere diverse vulnerabilità che possono essere potenzialmente sfruttate per compromettere i sistemi interessati.
Dettagli
- Vulnerabilità legata all'escalation dei privilegi (CVE-2018-15774)
Le versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 e le versioni di iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contengono una vulnerabilità legata all'escalation dei privilegi. Un utente iDRAC malintenzionato autenticato con privilegi di operatore potrebbe sfruttare potenzialmente un difetto del controllo delle autorizzazioni nell'interfaccia Redfish per ottenere l'accesso come amministratore.
- Vulnerabilità legata alla gestione impropria degli errori (CVE-2018-15776)
Le versioni Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 contengono una vulnerabilità legata alla gestione impropria degli errori. Un utente malintenzionato non autenticato con accesso fisico al sistema potrebbe sfruttare potenzialmente questa vulnerabilità per ottenere l'accesso alla shell u-boot.
Nota: Altri modelli di iDRAC non sono interessati dalle vulnerabilità descritte in precedenza.
Cause
.
Resolution
Risoluzione:
Le seguenti versioni firmware di Dell EMC iDRAC contengono le risoluzioni per queste vulnerabilità:
| iDRAC | Versione firmware di iDRAC |
|
iDRAC9 |
3.20.21.20 |
| 3.21.24.22 | |
| 3.21.26.22 | |
| 3.23.23.23 | |
| iDRAC8 | 2.61.60.60 |
| iDRAC7 | 2.61.60.60 |
Nota: Disponibile a partire dalla data di pubblicazione
Dell Technologies consiglia a tutti i clienti di eseguire l'upgrade il prima possibile.
Procedure consigliate di Dell EMC relative a iDRAC:
Oltre all'aggiornamento del firmware iDRAC, Dell EMC consiglia anche quanto riportato di seguito:
- iDRAC non è progettato né destinato alla pubblicazione o connessione a Internet, ma a una rete di gestione separata. La pubblicazione o la connessione diretta di iDRAC a Internet potrebbe esporre il sistema connesso a rischi legati alla sicurezza e di altro tipo per i quali Dell EMC non è responsabile.
- Oltre a posizionare iDRAC in una sottorete di gestione separata, gli utenti dovrebbero isolare la sottorete di gestione/vLAN con tecnologie come i firewall e limitarne l'accesso agli amministratori del server autorizzati.
- Dell Technologies consiglia ai clienti di prendere in considerazione eventuali fattori di deployment che potrebbero essere rilevanti per il proprio ambiente per valutare il rischio complessivo.
Collegamento alle soluzioni:
I clienti possono scaricare il firmware iDRAC per i server PowerEdge e selezionare la piattaforma dal sito del supporto Dell per tutte le altre piattaforme.
Ringraziamenti:
CVE-2018-15776: Dell EMC ringrazia Jon Sands e Adam Nielsen per averci segnalato questo problema.
Dell Technologies consiglia a tutti gli utenti di determinare l'applicabilità di queste informazioni alle proprie situazioni individuali e di intraprendere le azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell EMC declina tutte le garanzie, esplicite o implicite, incluse le garanzie di commerciabilità, idoneità per uno scopo specifico, titolarità e non violazione. In nessuna circostanza, Dell EMC o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell EMC o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.
Affected Products
Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910Products
PowerEdge XR2, PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360
, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640, PowerEdge XE2420, PowerEdge XE7420, PowerEdge XE7440, PowerEdge XE8545, PowerEdge XE8640, PowerEdge XE9640, PowerEdge XE9680, PowerEdge XR11, PowerEdge XR12, PowerEdge XR4510c, PowerEdge XR4520c
...
Article Properties
Article Number: 000177031
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.