ismi: iSM 5.4.0:aan sisältyvässä Python-moduulissa havaittiin vääriä positiivisia haavoittuvuuksia

Jotkin muiden valmistajien tietoturvaskannerit saattavat tunnistaa iDRAC Service Module (iSM) 5.4.0:n haavoittuvaksi tietyille CVE (Common Vulnerabilities and Exposures) -tietoturvaongelmille osana iSM:n pakkaamaa Python-moduulia. Nämä skannerit etsivät tiettyjen versioiden Python-kirjastotiedostoja, vaikka iSM ei todellisuudessa käyttäisi kyseisen kirjaston sovellusohjelmointirajapintaa (API) tai ladattaisi muistiin koodin suorittamista varten haavoittuvuuden paljastamiseksi.

Seuraavat CVE:t voidaan tunnistaa vääriksi positiivisiksi haavoittuvuuksiksi:
 

CVE-tunnus	CVSSv3-piste
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Dell Engineering on tutkinut kaikki nämä CVE-haavoittuvuudet Pythonin avulla ja todennut, että iSM ei itse asiassa ole altis näille.

Nämä väärät positiiviset varoitukset voidaan turvallisesti jättää huomiotta. Dell Engineering suunnittelee päivittävänsä Python-moduulin tulevassa iSM-versiossa välttääkseen nämä väärät positiiviset varoitukset.