PowerEdge: Kilka luk w kontrolerze iDRAC Dell EMC (CVE-2018-15774 i CVE-2018-15776)

Identyfikator CVE: Istotność CVE-2018-15774, CVE-2018-15776

: Średnio

dotknięte produkty:

• Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 (CVE-2018-15774 i CVE-2018-15776)
• Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.20.21.20, 3.21.24.22, 3.21.26.22 i 3.23.23.23 (CVE-2018-15774)

Streszczenie: 
Kontroler iDRAC Dell EMC został zaktualizowany w celu wyeliminowania wielu luk, które mogą być potencjalnie wykorzystane do zaatakowania systemów, których dotyczy problem.
 
Szczegóły: 

• Luka umożliwiająca uzyskanie podwyższonych uprawnień (CVE-2018-15774)

• Luka powodująca nieprawidłową obsługę błędów (CVE-2018-15776)

.

Rozwiązanie:   
Poniższe wersje oprogramowania układowego kontrolera iDRAC Dell EMC zawierają rozwiązania tych luk:

Firma Dell Technologies zaleca wszystkim klientom jak najszybszą modernizację. 

Najlepsze praktyki Dell EMC Best związane z kontrolerem iDRAC:

Poza korzystaniem z aktualnego oprogramowania układowego kontrolera iDRAC firma Dell EMC zaleca również:

• Kontrolery iDRAC nie zostały zaprojektowane ani nie są przeznaczone do działania w Internecie ani nawiązywania z nim połączenia; zostały stworzone z myślą o pracy w oddzielnej sieci zarządzania. Połączenie kontrolerów iDRAC bezpośrednio do Internetu może narazić podłączony system na zagrożenia związane z bezpieczeństwem i inne zagrożenia, za które firma Dell EMC nie ponosi odpowiedzialności.  
• Wraz z umieszczeniem kontrolerów iDRAC w oddzielnej podsieci zarządzania użytkownicy powinni odizolować podsieć zarządzania/vLAN za pomocą technologii takich jak zapory sieciowe oraz ograniczyć dostęp do podsieci/vLAN do uprawnionych administratorów serwerów.
• Firma Dell Technologies zaleca, aby klienci wzięli pod uwagę wszelkie czynniki wdrożeniowe, które mogą być istotne dla ich środowiska, aby ocenić ogólne ryzyko.

Łącze do rozwiązań:

Klienci mogą pobrać oprogramowanie wewnętrzne kontrolera iDRAC dla serwerów PowerEdge , a dla wszystkich innych platform wybrać platformę z witryny pomocy technicznej firmy Dell.

Podziękowania:

CVE-2018-15776: Firma Dell EMC dziękuje Jonowi Sandsowi i Adamowi Nielsenowi za zgłoszenie tego problemu.

Firma Dell Technologies zaleca, aby wszyscy użytkownicy określili, czy te informacje mają zastosowanie do ich indywidualnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell EMC zrzeka się wszelkich gwarancji, wyraźnych ani dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, tytułu i nienaruszania praw. W żadnym przypadku firma Dell EMC ani jej dostawcy nie ponoszą odpowiedzialności za żadne szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell EMC lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.