изм: Ложные уязвимости, обнаруженные в движке Python в комплекте с iSM 5.4.0

Некоторые сторонние сканеры безопасности могут определять iDRAC Service Module (iSM) 5.4.0 как уязвимость к некоторым распространенным уязвимостям и уязвимостям безопасности (CVE) как часть ядра Python, объединяемого iSM. Эти сканеры ищут наличие определенных файлов библиотеки Python определенных версий, даже если интерфейс прикладного программирования (API) этой библиотеки на самом деле не используется iSM или не загружен в память для выполнения кода, чтобы выявить уязвимость.

Следующие CVE могут быть идентифицированы как ложные уязвимости:
 

Идентификатор CVE	Рейтинг CVSSv3
CVE-2018-5996	7.8
БДСА-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
БДСА-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7.
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
БДСА-2024-4448	7.9
БДСА-2024-4448	7.9
БДСА-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Специалисты Dell Engineering изучили каждую из этих уязвимостей CVE с помощью Python и определили, что iSM на самом деле не уязвим к ним.

Эти ложные предупреждения можно смело игнорировать. Инженерный отдел Dell планирует обновить движок Python в одном из будущих выпусков iSM, чтобы избежать появления этих ложных предупреждений.