PowerEdge: Várias vulnerabilidades do Dell EMC iDRAC (CVE-2018-15774 e CVE-2018-15776)
Summary: Orientações da Dell EMC para a atenuação dos riscos e a resolução de várias vulnerabilidades do iDRAC. Para obter informações específicas sobre as versões afetadas do iDRAC e as próximas etapas para aplicar as atualizações, consulte este guia. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identificador de CVE: CVE-2018-15774, CVE-2018-15776
Gravidade: Médio
Produtos afetados:
- Versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 (CVE-2018-15774 e CVE-2018-15776)
- Versões do Dell EMC iDRAC9 anteriores às versões 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 (CVE-2018-15774)
Summary:
O Dell EMC iDRAC foi atualizado para lidar com várias vulnerabilidades que poderiam ser potencialmente exploradas para comprometer os sistemas afetados.
Detalhes:
- Vulnerabilidade de atendimento de segundo nível com privilégio (CVE-2018-15774)
As versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 e as versões do iDRAC9 anteriores às versões 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contêm uma vulnerabilidade de atendimento de segundo nível com privilégio. Um usuário mal-intencionado e autenticado do iDRAC com privilégios de operador poderia potencialmente explorar uma falha de verificação de permissão na interface do Redfish para obter acesso de administrador.
- Vulnerabilidade de tratamento de erros inadequado (CVE-2018-15776)
As versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 contêm um vulnerabilidade de tratamento de erros inadequado. Um invasor não autenticado com acesso físico ao sistema poderia potencialmente explorar essa vulnerabilidade para obter acesso ao shell u-boot.
Nota: Outros modelos de iDRAC não são afetados pelas vulnerabilidades detalhadas acima.
Cause
.
Resolution
Resolução:
Estas versões de firmware do Dell EMC iDRAC contêm resoluções para essas vulnerabilidades:
| iDRAC | Versão de firmware do iDRAC |
|
iDRAC9 |
3.20.21.20 |
| 3.21.24.22 | |
| 3.21.26.22 | |
| 3.23.23.23 | |
| iDRAC8 | 2.61.60.60 |
| iDRAC7 | 2.61.60.60 |
Nota: Disponível a partir da data de publicação
A Dell Technologies recomenda que todos os clientes façam upgrade o mais rápido possível.
Melhores práticas da Dell EMC com relação ao iDRAC:
Além de manter o firmware do iDRAC atualizado, a Dell EMC também recomenda o seguinte:
- Os iDRACs não são projetados nem destinados para serem colocados na Internet ou conectados a ela; eles devem ficar em uma rede de gerenciamento separada. Colocar iDRACs na Internet ou conectá-los a ela diretamente pode expor o sistema conectado à segurança e a outros riscos pelos quais a Dell EMC não se responsabiliza.
- Além de colocar os iDRACs em uma sub-rede de gerenciamento separada, os usuários devem isolar a vLAN/sub-rede de gerenciamento com o auxílio de tecnologias, tais como firewalls, e limitar o acesso à vLAN/sub-rede para os administradores de servidor autorizados.
- A Dell Technologies recomenda que os clientes considerem quaisquer fatores de implementação que possam ser relevantes para seu ambiente para avaliar o risco geral.
Link para as correções:
Os clientes podem fazer download do firmware do iDRAC para servidores PowerEdge e, para todas as outras plataformas, selecionar a plataforma no site de suporte da Dell.
Crédito:
CVE-2018-15776: A Dell EMC gostaria de agradecer a Jon Sands e Adam Nielsen por relatarem esse problema para nós.
A Dell Technologies recomenda que todos os usuários determinem a aplicabilidade dessas informações a suas situações individuais e tomem as medidas apropriadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell EMC se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comercialização, adequação a uma finalidade específica, título e não violação. Em nenhuma circunstância, a Dell EMC ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comercial ou danos especiais, mesmo que a Dell EMC ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.
Affected Products
Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910Products
PowerEdge XR2, PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360
, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640, PowerEdge XE2420, PowerEdge XE7420, PowerEdge XE7440, PowerEdge XE8545, PowerEdge XE8640, PowerEdge XE9640, PowerEdge XE9680, PowerEdge XR11, PowerEdge XR12, PowerEdge XR4510c, PowerEdge XR4520c
...
Article Properties
Article Number: 000177031
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.