PowerEdge : Diverses vulnérabilités de l’iDRAC Dell EMC (CVE-2018-15774 et CVE-2018-15776)

Identificateur CVE : CVE-2018-15774, CVE-2018-15776

Gravité : Produitsmoyennement

touchés :

• Versions iDRAC7/iDRAC8 Dell EMC antérieures à 2.61.60.60 (CVE-2018-15774 et CVE-2018-15776)
• Versions iDRAC9 Dell EMC antérieures à 3.20.21.20, 3.21.24.22, 3.21.26.22 et 3.23.23.23 (CVE-2018-15774)

Résumé : 
Le module iDRAC Dell EMC a été mis à jour afin de résoudre plusieurs vulnérabilités qui peuvent potentiellement être exploitées pour compromettre les systèmes concernés.
 
Détails : 

• Vulnérabilité de l’escalade des privilèges (CVE-2018-15774)

• Vulnérabilité de traitement des erreurs (CVE-2018-15776)

.

Résolution :   
Les versions suivantes du micrologiciel iDRAC Dell EMC intègrent une solution pour contrer ces vulnérabilités :

Dell Technologies recommande à tous les clients d’effectuer la mise à niveau dès que possible. 

Pratiques d’excellence Dell EMC concernant le contrôleur iDRAC :

Outre une mise à jour régulière du micrologiciel iDRAC, Dell EMC recommande également de tenir compte des remarques suivantes :

• iDRAC n’est ni conçu ni destiné à être placé sur Internet ou à y être connecté ; il est destiné à être installé sur un réseau de gestion distinct. Le fait de placer ou de connecter le contrôleur iDRAC directement sur Internet peut exposer le système connecté à des menaces de sécurité et à d’autres risques pour lesquels Dell EMC décline toute responsabilité.  
• L’utilisateur est donc invité à installer les contrôleurs iDRAC sur un sous-réseau de gestion distinct, à isoler ce réseau/VLAN des technologies de type pare-feu et à limiter l’accès au sous-réseau/VLAN aux seuls administrateurs de serveurs autorisés.
• Dell Technologies recommande aux clients de prendre en compte tous les facteurs de déploiement susceptibles d’être pertinents pour leur environnement afin d’évaluer leur risque global.

Lien vers les solutions :

Les clients peuvent télécharger le firmware de l’iDRAC pour les serveurs PowerEdge . Pour toutes les autres plates-formes, sélectionnez la plate-forme sur le site de support Dell.

Crédits :

CVE-2018-15776 : Dell EMC remercie Jon Sands et Adam Nielsen d’avoir signalé ce problème.

Dell Technologies recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation personnelle et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell EMC décline toute garantie, expresse ou implicite, notamment les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et d’absence de contrefaçon. Dell EMC ou ses fournisseurs ne peuvent en aucun cas être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accidentels, consécutifs, la perte de bénéfices commerciaux ou dommages spéciaux, même si Dell EMC ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.