PowerEdge. Несколько уязвимостей Dell EMC iDRAC (CVE-2018-15774 и CVE-2018-15776)
Summary: Рекомендации Dell EMC по снижению рисков и устранению нескольких уязвимостей iDRAC. Информацию о затронутых версиях iDRAC и дальнейших действиях по установке обновлений см. в этом руководстве. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Идентификатор CVE: CVE-2018-15774, CVE-2018-15776
Серьезность: Продукты со средней степенью
уязвимости:
- Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2018-15774 и CVE-2018-15776)
- Версии Dell EMC iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23.23 (CVE-2018-15774)
Резюме:
Контроллер Dell EMC iDRAC был обновлен для устранения ряда уязвимостей, которые могли быть использованы для компрометации уязвимых систем.
Описание:
- Уязвимость, делающая возможным несанкционированное получение прав (CVE-2018-15774)
Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 и iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23.23 имеют уязвимость, делающую возможным несанкционированное получение прав. Злоумышленник-пользователь iDRAC, пройдя аутентификацию с правами оператора, может использовать недостаток проверки разрешений в интерфейсе Redfish для получения прав доступа администратора.
- Уязвимость, связанная с неверной обработкой ошибок (CVE-2018-15776)
Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 имеют уязвимость, связанную с неверной обработкой ошибок. Злоумышленник, не прошедший аутентификацию и имеющий физический доступ к системе, может использовать эту уязвимость для получения доступа к оболочке u-boot.
Примечание. Другие модели iDRAC не подвержены описанным выше уязвимостям.
Cause
.
Resolution
Способ устранения
В следующих версиях микропрограммы Dell EMC iDRAC эти уязвимости устранены:
| iDRAC | Версия микропрограммы iDRAC |
|
iDRAC9 |
3.20.21.20 |
| 3.21.24.22 | |
| 3.21.26.22 | |
| 3.23.23.23 | |
| iDRAC8 | 2.61.60.60 |
| iDRAC7 | 2.61.60.60 |
Примечание. Доступно на дату публикации
Dell Technologies рекомендует всем заказчикам выполнить обновление при первой же возможности.
Оптимальные процедуры, рекомендуемые Dell EMC в отношении iDRAC
Помимо поддержания в актуальном состоянии микропрограммы iDRAC, компания Dell EMC также рекомендует следующее:
- Контроллеры iDRAC не предназначены для размещения в сети Интернет или подключения к ней; они предназначены для использования в отдельной сети управления. Установка или подключение контроллеров iDRAC непосредственно к Интернету может подвергнуть подключенную систему рискам безопасности и прочим рискам, за которые компания Dell EMC не несет ответственность.
- Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
- Dell Technologies рекомендует заказчикам учитывать все факторы развертывания, которые могут быть актуальны для их среды, для оценки общих рисков.
Ссылка на средство устранения
Заказчики могут скачать микропрограмму iDRAC для серверов PowerEdge , а для всех остальных платформ выберите платформу на сайте поддержки Dell.
Благодарности
CVE-2018-15776: Компания Dell EMC благодарит Джона Сэндса (Jon Sands) и Адама Нильсена (Adam Nielsen) за сообщение об этой проблеме.
Dell Technologies рекомендует всем пользователям оценить применимость этой информации к их конкретным ситуациям и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Корпорация Dell EMC отказывается от всех гарантий, явных или подразумеваемых, включая гарантии коммерческой пригодности, пригодности для определенной цели, права собственности и ненарушения прав интеллектуальной собственности. Ни при каких обстоятельствах компания Dell EMC или ее поставщики не несут ответственности за любой ущерб, в том числе за прямые, косвенные, случайные, побочные убытки, потерю коммерческой прибыли или фактические убытки, даже если компания Dell EMC или ее поставщики были предупреждены о возможности такого ущерба. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.
Affected Products
Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910Products
PowerEdge XR2, PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360
, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640, PowerEdge XE2420, PowerEdge XE7420, PowerEdge XE7440, PowerEdge XE8545, PowerEdge XE8640, PowerEdge XE9640, PowerEdge XE9680, PowerEdge XR11, PowerEdge XR12, PowerEdge XR4510c, PowerEdge XR4520c
...
Article Properties
Article Number: 000177031
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.