isme: Falske positive sikkerhetsproblemer identifisert med Python-motoren som følger med iSM 5.4.0

Noen tredjeparts sikkerhetsskannere kan identifisere iDRAC Service Module (iSM) 5.4.0 som sårbar overfor visse sikkerhetsproblemer (Common Vulnerabilities and Exposures (CVE) som en del av Python-motoren som iSM bunter. Disse skannerne ser etter tilstedeværelsen av visse Python-bibliotekfiler av bestemte versjoner, selv om bibliotekets API (Application Programming Interface) faktisk ikke brukes av iSM eller lastes inn i minnet for kjøring av kode for å avsløre sikkerhetsproblemet.

Følgende CVE-er kan identifiseres som sikkerhetsproblemer med falske positive:
 

CVE-ID	CVSSv3-poengsum
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7,4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Dells teknikere har undersøkt hver av disse CVE-sårbarhetene med Python, og har fastslått at iSM faktisk ikke er sårbar overfor disse.

Disse falske positive advarslene kan trygt ignoreres. Dells tekniske avdeling planlegger å oppdatere Python-motoren i en fremtidig iSM-utgivelse for å unngå disse falske positive advarslene.