isme: Failles de sécurité de faux positifs identifiées avec le moteur Python fourni avec l’iSM 5.4.0

Certains scanners de sécurité tiers peuvent identifier l’iDRAC Service Module (iSM) 5.4.0 comme vulnérable à certains problèmes de sécurité CVE (Common Vulnerabilities and Exposures) dans le cadre du moteur Python regroupé par l’iSM. Ces analyseurs recherchent la présence de certains fichiers de la bibliothèque Python de versions spécifiques, même si l’interface de programmation d’application (API) de cette bibliothèque n’est pas réellement utilisée par l’iSM ou chargée en mémoire pour l’exécution du code afin d’exposer la vulnérabilité.

Les CVE suivantes peuvent être identifiées comme des failles de sécurité faux positifs :
 

ID CVE	CVSSv3 Score
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Les ingénieurs Dell ont examiné chacune de ces vulnérabilités CVE avec Python et ont déterminé qu’iSM n’était pas réellement vulnérable à celles-ci.

Vous pouvez ignorer ces avertissements faux positifs en toute sécurité. Les ingénieurs Dell prévoient de mettre à jour le moteur Python dans une future version de l’iSM afin d’éviter ces faux positifs.