ism: Falska positiva säkerhetsproblem som identifierats med Python-motorn som medföljer iSM 5.4.0

Vissa säkerhetsskannrar från tredje part kan identifiera iDRAC Service Module (iSM) 5.4.0 som sårbar för vissa säkerhetsproblem (Common Vulnerabilities and Exposures, CVE) som en del av den Python-motor som iSM paketar. Dessa skannrar letar efter förekomsten av vissa Python-biblioteksfiler av specifika versioner även om bibliotekets Application Programming Interface (API) faktiskt inte används av iSM eller läses in i minnet för kodkörning för att exponera sårbarheten.

Följande CVE:er kan identifieras som falska positiva säkerhetsrisker:
 

CVE-ID	CVSSv3-poäng
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Dell Engineering har undersökt var och en av dessa CVE-sårbarheter med Python och har fastställt att iSM faktiskt inte är sårbart för dessa.

Dessa falska positiva varningar kan ignoreras på ett säkert sätt. Dell Engineering planerar att uppdatera Python-motorn i en framtida iSM-version för att undvika dessa falska positiva varningar.