Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Várias vulnerabilidades do Dell EMC iDRAC (CVE-2018-15774 e CVE-2018-15776)

Summary: Orientações da Dell EMC para a atenuação dos riscos e a resolução de várias vulnerabilidades do iDRAC. Para obter informações específicas sobre as versões do iDRAC afetadas e as próximas etapas para aplicação das atualizações, consulte este guia. ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Identificador de CVE: CVE-2018-15774, CVE-2018-15776

Gravidade: Produtos

de médio porte afetados:
  • Versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 (CVE-2018-15774 e CVE-2018-15776)
  • Versões do Dell EMC iDRAC9 anteriores às versões 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 (CVE-2018-15774)
Resumo
O Dell EMC iDRAC foi atualizado para lidar com várias vulnerabilidades que poderiam ser potencialmente exploradas para comprometer os sistemas afetados.
 
Detalhes
  • Vulnerabilidade de atendimento de segundo nível com privilégio (CVE-2018-15774)
As versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 e as versões do iDRAC9 anteriores às versões 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contêm uma vulnerabilidade de atendimento de segundo nível com privilégio. Um usuário mal-intencionado e autenticado do iDRAC com privilégios de operador poderia potencialmente explorar uma falha de verificação de permissão na interface do Redfish para obter acesso de administrador.
 
 
  • Vulnerabilidade de tratamento de erros inadequado (CVE-2018-15776)
As versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 contêm um vulnerabilidade de tratamento de erros inadequado. Um invasor não autenticado com acesso físico ao sistema poderia potencialmente explorar essa vulnerabilidade para obter acesso ao shell u-boot.
 
SLN315190_en_US__1icon Nota: Outros modelos do iDRAC não são afetados pelas vulnerabilidades detalhadas acima.

Resolução:   
Estas versões de firmware do Dell EMC iDRAC contêm resoluções para essas vulnerabilidades:

 
iDRAC Versão de firmware do iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Nota: Disponível a partir da data da publicação.

A Dell EMC recomenda que todos os clientes façam a atualização o mais rápido possível. 

Melhores práticas da Dell EMC com relação ao iDRAC:

Além de manter o firmware do iDRAC atualizado, a Dell EMC também recomenda o seguinte:

  • Os iDRACs não são projetados nem destinados para serem colocados na Internet ou conectados a ela; eles devem ficar em uma rede de gerenciamento separada. Colocar iDRACs na Internet ou conectá-los a ela diretamente pode expor o sistema conectado à segurança e a outros riscos pelos quais a Dell EMC não se responsabiliza.  
  • Além de colocar os iDRACs em uma sub-rede de gerenciamento separada, os usuários devem isolar a vLAN/sub-rede de gerenciamento com o auxílio de tecnologias, tais como firewalls, e limitar o acesso à vLAN/sub-rede para os administradores de servidor autorizados.
  • A Dell EMC recomenda que os clientes levem em conta os fatores de implementação relevantes a seus ambientes para avaliar o risco geral.

Link para as correções:

Os clientes podem fazer download do firmware do iDRAC para servidores PowerEdge. Para todas as outras plataformas, é necessário selecionar a plataforma no site de suporte da Dell.


Crédito:

CVE-2018-15776: A Dell EMC gostaria de agradecer a Jon Sands e Adam Adams por relatar esse problema para nós.

A Dell EMC recomenda que todos os usuários determinem a aplicabilidade dessa informação às situações individuais e que tomem as medidas apropriadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell EMC se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comerciabilidade, adequação a um propósito específico, título e não-violação. Em nenhuma circunstância, a Dell EMC ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comercial ou danos especiais, mesmo que a Dell EMC ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.

Cause

 

Resolution


Affected Products

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910