ismus: Falsch positive Sicherheitslücken mit der Python-Engine im Bundle mit iSM 5.4.0 identifiziert

Einige Sicherheitsscanner von Drittanbietern identifizieren möglicherweise das iDRAC Service Module (iSM) 5.4.0 als anfällig für bestimmte CVE-Sicherheitsprobleme (Common Vulnerabilities and Exposures) als Teil der Python-Engine, die iSM bündelt. Diese Scanner suchen nach dem Vorhandensein bestimmter Python-Bibliotheksdateien bestimmter Versionen, selbst wenn die Anwendungsprogrammierschnittstelle (API) dieser Bibliothek nicht tatsächlich von iSM verwendet oder zur Codeausführung in den Arbeitsspeicher geladen wird, um die Sicherheitslücke aufzudecken.

Die folgenden CVEs können als falsch positive Schwachstellen identifiziert werden:
 

CVE-ID	CVSSv3-Bewertung
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7,5
CVE-2023-24329	7,5
CVE-2020-10735	7,5
CVE-2024-7592	7,5
CVE-2023-36632	7,5
CVE-2022-45061	7,5
CVE-2018-25032	7,5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7,5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7,5
CVE-2022-40898	7,5
CVE-2019-13351	8.1

Dell Engineering hat jede dieser CVE-Sicherheitslücken mit Python untersucht und festgestellt, dass iSM nicht wirklich anfällig für diese ist.

Diese falsch positiven Warnungen können bedenkenlos ignoriert werden. Dell Engineering plant, die Python-Engine in einer zukünftigen iSM-Version zu aktualisieren, um diese falsch positiven Warnungen zu vermeiden.