isme: Fout-positieve beveiligingslekken geïdentificeerd met Python-engine gebundeld met iSM 5.4.0
Summary: Voor de iDRAC Service Module 5.4.0 kan door sommige beveiligingsscanners van derden zijn vastgesteld dat deze kwetsbaar zijn voor bepaalde CVE-problemen als onderdeel van de iSM-bundels van de Python-engine. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Sommige beveiligingsscanners van derden kunnen de iDRAC Service Module (iSM) 5.4.0 identificeren als kwetsbaar voor bepaalde beveiligingsproblemen met veelvoorkomende kwetsbaarheden en blootstellingen (CVE) als onderdeel van de Python-engine die iSM bundelt. Deze scanners zoeken naar de aanwezigheid van bepaalde Python-bibliotheekbestanden van specifieke versies, zelfs als de Application Programming Interface (API) van die bibliotheek niet daadwerkelijk door iSM wordt gebruikt of in het geheugen wordt geladen voor code-uitvoering om het beveiligingslek bloot te leggen.
Cause
De volgende CVE's kunnen worden geïdentificeerd als fout-positieve kwetsbaarheden:
| CVE-ID | CVSSv3-score |
| CVE-2018-5996 | 7.8 |
| BDSA-2021-4620 | 7.8 |
| CVE-2015-8812 | 9.8 |
| CVE-2022-37454 | 9.8 |
| CVE-2019-12900 | 9.8 |
| CVE-2022-42919 | 7.8 |
| BDSA-2024-5078 | 7.7 |
| CVE-2015-20107 | 7.6 |
| CVE-2024-6232 | 7,5 |
| CVE-2023-24329 | 7,5 |
| CVE-2020-10735 | 7,5 |
| CVE-2024-7592 | 7,5 |
| CVE-2023-36632 | 7,5 |
| CVE-2022-45061 | 7,5 |
| CVE-2018-25032 | 7,5 |
| CVE-2021-28861 | 7.4 |
| CVE-2022-26488 | 7 |
| CVE-2021-43527 | 9.8 |
| CVE-2017-12814 | 9.8 |
| CVE-2022-2309 | 7,5 |
| BDSA-2024-4448 | 7.9 |
| BDSA-2024-4448 | 7.9 |
| BDSA-2024-4448 | 7.9 |
| CVE-2022-40898 | 7,5 |
| CVE-2022-40898 | 7,5 |
| CVE-2019-13351 | 8.1 |
Resolution
Dell Engineering heeft elk van deze CVE-kwetsbaarheden onderzocht met Python en heeft vastgesteld dat iSM hier eigenlijk niet kwetsbaar voor is.
Deze vals-positieve waarschuwingen kunnen veilig worden genegeerd. Dell Engineering is van plan om de Python-engine in een toekomstige iSM-release bij te werken om deze fout-positieve waarschuwingen te voorkomen.
Deze vals-positieve waarschuwingen kunnen veilig worden genegeerd. Dell Engineering is van plan om de Python-engine in een toekomstige iSM-release bij te werken om deze fout-positieve waarschuwingen te voorkomen.
Affected Products
iDRAC Service Module, iDRAC Service Module 5.xArticle Properties
Article Number: 000232029
Article Type: Solution
Last Modified: 21 Oct 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.