PowerEdge: Vícenásobné chyby zabezpečení řadiče Dell EMC iDRAC (CVE-2018-15774 a CVE-2018-15776)
Summary: Pokyny společnosti Dell EMC pro snížení rizik a řešení vícenásobných zranitelností řadiče iDRAC. Konkrétní informace o dotčených verzích řadičů iDRAC a další kroky k instalaci aktualizací naleznete v této příručce. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identifikátor CVE: CVE-2018-15774, CVE-2018-15776
Závažnost: Středněpostižené
produkty:
- Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2018-15774 a CVE-2018-15776)
- Řadič Dell EMC iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 (CVE-2018-15774)
Shrnutí:
Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.
Podrobnosti:
- Zranitelnost elevace oprávnění (CVE-2018-15774)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 a řadič iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahuje zranitelnost elevace oprávnění. Ověřený uživatel řadiče iDRAC se zlými úmysly a oprávněními operátora by mohl potenciálně zneužít chyby při kontrole oprávnění v rozhraní Redfish k získání administrátorského přístupu.
- Zranitelnost nesprávného zacházení s chybami (CVE-2018-15776)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 obsahuje zranitelnost nesprávného zacházení s chybami. Neověřený útočník s fyzickým přístupem k systému může potenciálně zneužít této zranitelnosti pro přístup k příkazovému řádku u-boot shell.
Poznámka: Jiné modely řadiče iDRAC nejsou dotčeny výše popsanými chybami zabezpečení.
Cause
.
Resolution
Řešení:
Následující verze firmwaru řadiče Dell EMC iDRAC obsahují řešení těchto zranitelností:
| iDRAC | Verze firmwaru řadiče iDRAC |
|
iDRAC9 |
3.20.21.20 |
| 3.21.24.22 | |
| 3.21.26.22 | |
| 3.23.23.23 | |
| iDRAC8 | 2.61.60.60 |
| iDRAC7 | 2.61.60.60 |
Poznámka: K dispozici k datu publikace
Společnost Dell Technologies doporučuje všem zákazníkům provést upgrade při nejbližší příležitosti.
Osvědčené postupy společnosti Dell EMC týkající se řadiče iDRAC:
Společnost Dell EMC kromě udržování aktuálního firmwaru řadiče iDRAC doporučuje následující opatření:
- Řadiče iDRAC nejsou určeny k umisťování nebo připojování k internetu, jsou určeny k používání v oddělené síti pro správu. V důsledku přímého umístění nebo připojení řadiče iDRAC k internetu může dojít k vystavení připojeného systému bezpečnostním nebo jiným rizikům, za které společnost Dell EMC neodpovídá.
- Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
- Společnost Dell Technologies doporučuje, aby zákazníci zvážili všechny faktory nasazení, které mohou být relevantní pro jejich prostředí, a mohli tak posoudit své celkové riziko.
Odkaz na opravné prostředky:
Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge a pro všechny ostatní platformy vybrat platformu na webu podpory společnosti Dell.
Poděkování:
CVE-2018-15776: Společnost Dell EMC by ráda poděkovala Jonu Sandsovi a Adamu Nielsenovi za nahlášení tohoto problému.
Společnost Dell Technologies doporučuje všem uživatelům, aby zvážili použitelnost těchto informací ve své individuální situaci a podnikli příslušné kroky. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell EMC se zříká veškerých záruk, výslovných nebo předpokládaných, včetně záruk obchodovatelnosti, vhodnosti pro určitý účel, nároku a neporušení práv. Společnost Dell EMC ani její dodavatelé neponesou v žádném případě odpovědnost za jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell EMC nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.
Affected Products
Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910Products
PowerEdge XR2, PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360
, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640, PowerEdge XE2420, PowerEdge XE7420, PowerEdge XE7440, PowerEdge XE8545, PowerEdge XE8640, PowerEdge XE9640, PowerEdge XE9680, PowerEdge XR11, PowerEdge XR12, PowerEdge XR4510c, PowerEdge XR4520c
...
Article Properties
Article Number: 000177031
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.