DSA ID: DSA-2019-028
Identifikátor CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Závažnost: Vysoká
Hodnocení závažnosti: Viz část Podrobnosti níže k jednotlivým skóre CVSS pro každé CVE
Dotčené produkty:
- Radiče Dell EMC iDRAC6 před verzí 2.92 (CVE-2019-3705)
- Řadiče Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2019-3705)
- Řadiče Dell EMC iDRAC9 před verzí 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 a CVE-2019-3707)
Shrnutí:
Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.
Podrobnosti:
- Zranitelnost zahlcení vyrovnávací paměti (CVE-2019-3705)
Řadiče Dell EMC iDRAC6 před verzí 2.92, iDRAC7/iDRAC8 před verzí 2.61.60.60 a iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahují zranitelnost zahlcení vyrovnávací paměti založené na stohu. Neověřený vzdálený útočník by mohl tuto zranitelnost zneužít k selhání webového serveru nebo ke spuštění libovolného kódu v systému s oprávněními webového serveru odesláním speciálně vytvořených vstupních dat do dotčeného systému.
Základní skóre CVSSv3: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Zranitelnost obcházení ověřování webového rozhraní (CVE-2019-3706)
Řadiče Dell EMC iDRAC9 před verzí 3.24.24.24, 3.21.26.22, 3.22.22.22 a 3.21.25.22 obsahují zranitelnost obcházení ověřování. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených dat do webového rozhraní řadiče iDRAC.
Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Zranitelnost obcházení ověřování WS-MAN (CVE-2019-3707)
Řadiče Dell EMC iDRAC9 před verzí a 3.30.30.30 obsahují zranitelnost obcházení ověřování. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených vstupních dat do rozhraní WS-MAN.
Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Řešení:
Následující verze firmwaru řadiče Dell EMC iDRAC obsahují řešení těchto zranitelností:
iDRAC |
Verze firmwaru řadiče iDRAC |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
Společnost Dell EMC doporučuje všem uživatelům provést upgrade co nejdříve.
Osvědčené postupy společnosti Dell týkající se řadiče iDRAC:
Společnost Dell kromě udržování aktuálního firmwaru řadiče iDRAC doporučuje následující opatření:
- Řadiče iDRAC nejsou určeny k umisťování nebo připojování k internetu, jsou určeny k používání v oddělené síti pro správu. V důsledku přímého umístění nebo připojení řadiče iDRAC k internetu může dojít k vystavení připojeného systému bezpečnostním nebo jiným rizikům, za které společnost Dell neodpovídá.
- Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
- Společnost Dell doporučuje zákazníkům vzít při vyhodnocování celkového rizika v úvahu veškeré faktory nasazení, které mohou být v jejich prostředí relevantní.
Odkaz na opravné prostředky:
Zákazníci si mohou stáhnout firmware řadiče iDRAC pro
servery PowerEdge. Pro všechny ostatní platformy vyberte platformu na
stránkách podpory společnosti Dell .
Společnost Dell doporučuje všem uživatelům rozhodnout o použitelnosti těchto informací v konkrétní situaci a provést odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.