ismus: Falešně pozitivní chyby zabezpečení zjištěné v modulu Python dodávaném s modulem iSM 5.4.0

Některé bezpečnostní skenery třetích stran mohou identifikovat modul iDRAC Service Module (iSM) 5.4.0 jako zranitelný vůči určitým bezpečnostním problémům s běžnými chybami zabezpečení CVE (Common Vulnerabilities and Exposures) jako součást modulu Python, který je součástí modulu Python, který je součástí balíčků iSM. Tyto skenery hledají přítomnost určitých souborů knihovny Python konkrétních verzí, a to i v případě, že rozhraní API (Application Programming Interface) dané knihovny není ve skutečnosti používáno nástrojem iSM nebo načteno do paměti pro spuštění kódu, aby odhalilo chybu zabezpečení.

Následující chyby CVE mohou být identifikovány jako falešně pozitivní chyby zabezpečení:
 

CVE ID	Skóre CVSSv3
CVE-2018-5996	7.8
BDSA-2021-4620	7.8
CVE-2015-8812	9.8
CVE-2022-37454	9.8
CVE-2019-12900	9.8
CVE-2022-42919	7.8
BDSA-2024-5078	7.7
CVE-2015-20107	7.6
CVE-2024-6232	7.5
CVE-2023-24329	7.5
CVE-2020-10735	7.5
CVE-2024-7592	7.5
CVE-2023-36632	7.5
CVE-2022-45061	7.5
CVE-2018-25032	7.5
CVE-2021-28861	7.4
CVE-2022-26488	7
CVE-2021-43527	9.8
CVE-2017-12814	9.8
CVE-2022-2309	7.5
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
BDSA-2024-4448	7.9
CVE-2022-40898	7.5
CVE-2022-40898	7.5
CVE-2019-13351	8.1

Technický tým společnosti Dell prozkoumal všechny tyto chyby zabezpečení CVE pomocí jazyka Python a zjistil, že modul iSM jimi ve skutečnosti ohrožen není.

Tato falešně pozitivní upozornění lze bezpečně ignorovat. Technický tým společnosti Dell plánuje aktualizovat modul Python v budoucí verzi iSM, aby k těmto falešně pozitivním varováním nedocházelo.