Несколько уязвимостей Dell EMC iDRAC (CVE-2018-15774 и CVE-2018-15776)

• Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2018-15774 и CVE-2018-15776)
• Версии Dell EMC iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23.23 (CVE-2018-15774)

• Уязвимость, делающая возможным несанкционированное получение прав (CVE-2018-15774)

• Уязвимость, связанная с неверной обработкой ошибок (CVE-2018-15776)

Примечание. Другие модели iDRAC не подвержены описанным выше уязвимостям.

Способ устранения   
В следующих версиях микропрограммы Dell EMC iDRAC эти уязвимости устранены:

Примечание. Доступно на дату публикации.

Dell EMC рекомендует всем клиентам выполнить обновление при первой возможности. 

Оптимальные процедуры, рекомендуемые Dell EMC в отношении iDRAC

Помимо поддержания в актуальном состоянии микропрограммы iDRAC, компания Dell EMC также рекомендует следующее:

• Контроллеры iDRAC не предназначены для размещения в сети Интернет или подключения к ней; они предназначены для использования в отдельной сети управления. Установка или подключение контроллеров iDRAC непосредственно к Интернету может подвергнуть подключенную систему рискам безопасности и прочим рискам, за которые компания Dell EMC не несет ответственность.  
• Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
• Dell EMC рекомендует заказчикам учесть все факторы развертывания, относящиеся к их среде, чтобы оценить риск в целом.

Ссылка на средство устранения

Пользователи могут загрузить микропрограмму iDRAC для серверов PowerEdge и всех прочих платформ, выбрав платформу на сайте поддержки Dell.

Благодарности

CVE-2018-15776: Dell EMC благодарит Джона Сэндса (John Sands) и Адама Нильсена (Adam Nielsen) за сообщение об этой проблеме.

Dell EMC рекомендует всем пользователям оценить релевантность данной информации к их ситуации и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell EMC отказывается от всех явных и подразумеваемых гарантий, в том числе от гарантий товарной пригодности, пригодности для конкретной цели и ненарушения прав. Ни при каких обстоятельствах компания Dell EMC или ее поставщики не несут ответственности за любой ущерб, в том числе за прямые, косвенные, случайные, побочные убытки, потерю коммерческой прибыли или фактические убытки, даже если компания Dell EMC или ее поставщики были предупреждены о возможности такого ущерба. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.