isme: Falske positive sårbarheder identificeret med Python-motor bundtet med iSM 5.4.0

Nogle tredjepartssikkerhedsscannere kan identificere iDRAC Service Module (iSM) 5.4.0 som sårbar over for visse CVE-sikkerhedsproblemer (Common Vulnerabilities and Exposures) som en del af det Python-program, som iSM bundter. Disse scannere ser efter tilstedeværelsen af visse Python-biblioteksfiler i specifikke versioner, selvom bibliotekets Application Programming Interface (API) faktisk ikke bruges af iSM eller indlæses i hukommelsen til kodeudførelse for at afsløre sårbarheden.

Følgende CVE'er kan identificeres som falsk positive sikkerhedsrisici:
 

CVE-id	CVSSv3-resultat
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Dell Engineering har undersøgt hver af disse CVE-sårbarheder med Python og har fastslået, at iSM faktisk ikke er sårbar over for disse.

Disse falske positive advarsler kan uden problemer ignoreres. Dell Engineering har planer om at opdatere Python-programmet i en fremtidig iSM-udgivelse for at undgå disse falske positive advarsler.