Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Vícenásobné chyby zabezpečení řadiče Dell EMC iDRAC

Summary: Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

Identifikátor CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Závažnost: Vysoká

Hodnocení závažnosti: Viz část Podrobnosti níže k jednotlivým skóre CVSS pro každé CVE
                         
Dotčené produkty:
 
  • Radiče Dell EMC iDRAC6 před verzí 2.92 (CVE-2019-3705)
  • Řadiče Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2019-3705)
  • Řadiče Dell EMC iDRAC9 před verzí 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 a CVE-2019-3707)

Shrnutí:  
Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.

Podrobnosti:  
  • Zranitelnost zahlcení vyrovnávací paměti (CVE-2019-3705)
     
Řadiče Dell EMC iDRAC6 před verzí 2.92, iDRAC7/iDRAC8 před verzí 2.61.60.60 a iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahují zranitelnost zahlcení vyrovnávací paměti založené na stohu. Neověřený vzdálený útočník by mohl tuto zranitelnost zneužít k selhání webového serveru nebo ke spuštění libovolného kódu v systému s oprávněními webového serveru odesláním speciálně vytvořených vstupních dat do dotčeného systému.

Základní skóre CVSSv3: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Zranitelnost obcházení ověřování webového rozhraní (CVE-2019-3706)
 
Řadiče Dell EMC iDRAC9 před verzí 3.24.24.24, 3.21.26.22, 3.22.22.22 a 3.21.25.22 obsahují zranitelnost obcházení ověřování. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených dat do webového rozhraní řadiče iDRAC.

Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Zranitelnost obcházení ověřování WS-MAN (CVE-2019-3707)
 
Řadiče Dell EMC iDRAC9 před verzí a 3.30.30.30 obsahují zranitelnost obcházení ověřování. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených vstupních dat do rozhraní WS-MAN.
 
Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Řešení:      
Následující verze firmwaru řadiče Dell EMC iDRAC obsahují řešení těchto zranitelností:
 

iDRAC

Verze firmwaru řadiče iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Společnost Dell EMC doporučuje všem uživatelům provést upgrade co nejdříve.  

Osvědčené postupy společnosti Dell týkající se řadiče iDRAC:

Společnost Dell kromě udržování aktuálního firmwaru řadiče iDRAC doporučuje následující opatření:
  • Řadiče iDRAC nejsou určeny k umisťování nebo připojování k internetu, jsou určeny k používání v oddělené síti pro správu.  V důsledku přímého umístění nebo připojení řadiče iDRAC k internetu může dojít k vystavení připojeného systému bezpečnostním nebo jiným rizikům, za které společnost Dell neodpovídá.   
  • Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
  • Společnost Dell doporučuje zákazníkům vzít při vyhodnocování celkového rizika v úvahu veškeré faktory nasazení, které mohou být v jejich prostředí relevantní.

Odkaz na opravné prostředky:

Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge. Pro všechny ostatní platformy vyberte platformu na stránkách podpory společnosti Dell .


Společnost Dell doporučuje všem uživatelům rozhodnout o použitelnosti těchto informací v konkrétní situaci a provést odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top