Dell EMC iDRAC 多個漏洞 （CVE-2018-15774 和 CVE-2018-15776）

• 2.61.60.60 之前的 Dell EMC iDRAC7/iDRAC8 版本 （CVE-2018-15774 和 CVE-2018-15776）
• 3.20.21.20、3.21.24.22、3.21.26.22 和 3.23.23.23.23 之前的 Dell EMC iDRAC9 版本 （CVE-2018-15774）

• 許可權呈報漏洞 （CVE-2018-15774）

• 不當的錯誤處理漏洞 （CVE-2018-15776）

備註：其他型號的 iDRAC 不受上述詳細漏洞的影響。

解決方案：   
下列 Dell EMC iDRAC 韌體版本包含這些漏洞的解決方法：

備註：自發行日期起提供。

Dell EMC 建議所有客戶儘早進行升級。 

Dell EMC 有關 iDRAC 的最佳做法：

除了維護最新的 iDRAC 韌體外，Dell EMC 也提供下列建議：

• iDRAC 並非設計，也不打算安裝在網際網路上或連線至網際網路;其預定位於個別的管理網路上。將 iDRAC 直接放入或連線至網際網路，可能會使連線系統暴露于安全性，以及 Dell EMC 不負責的其他風險。  
• 除了在個別管理子網上找到 iDRAC，使用者還應透過防火牆等技術來隔離管理子網/vLAN，並將子網/vLAN 的存取限制至授權的伺服器管理員。
• Dell EMC 建議客戶考慮與環境相關的任何部署因素，以評估其整體風險。

補救措施連結：

客戶可以下載 適用于 PowerEdge 伺服器 及所有其他平臺的 iDRAC 韌體，請從 Dell 支援網站選取該平臺。

信用額度：

CVE-2018-15776：Dell EMC 感謝 Jon Sands 和 Adam Nielsen 向我們回報此問題。

Dell EMC 建議所有使用者根據自身情況判斷此資訊的適用性，並採取適當的行動。本文提及的資訊以「現狀」提供，不提供任何形式的擔保。Dell EMC 不提供任何明示或默示的擔保，包括適售性、特定用途適用性、擁有權和非侵權等擔保。在任何情況下，Dell EMC 或其供應商對於任何損害概不負責，包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害，即使 Dell EMC 或其供應商對上述損害的可能性已經知情亦是如此。有些州不允許排除或限制衍生性或附帶性損失的責任，所以前述限制可能不適用。