Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Dell EMC iDRAC - flere sikkerhedsrisici

Summary: Dell EMC iDRAC er blevet opdateret for at håndtere flere sikkerhedsrisici, der potentielt kan udnyttes til at kompromittere de berørte systemer.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

CVE-id: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Alvorsgrad: Høj

Klassifikation af alvorsgrad: Se afsnittet Detaljer nedenfor for at få individuelle CVSS-scorer for hver CVE
                         
Berørte produkter:
 
  • Dell EMC iDRAC6-versioner før 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7/iDRAC8-versioner før 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9-versioner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 og CVE-2019-3707)

Overblik:  
Dell EMC iDRAC er blevet opdateret for at håndtere flere sikkerhedsrisici, der potentielt kan udnyttes til at kompromittere de berørte systemer.

Detaljer:  
  • Sikkerhedsrisiko ved bufferoverløb (CVE-2019-3705)
     
Dell EMC iDRAC6-versioner før 2.92, iDRAC7/iDRAC8-versioner før 2.61.60.60 og iDRAC9-versioner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 indeholder en sikkerhedsrisiko for stakbaseret bufferoverløb. En uautoriseret hacker kan potentielt udnytte denne sikkerhedsrisiko til at lukke webserveren ned eller køre en vilkårlig kode på systemet med webserverens rettigheder ved at sende særligt udformede inputdata til det berørte system.

CVSSv3-basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Sikkerhedsrisiko ved omgåelse af godkendelse af webgrænseflader (CVE-2019-3706)
 
Dell EMC iDRAC9-versioner før 3.24.24.24, 3.21.26.22, 3.22.22.22 and 3.21.25.22 indeholder en sikkerhedsrisiko for omgåelse af godkendelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede data til iDRAC-webgrænsefladen.

CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Sikkerhedsrisiko for omgåelse af godkendelse i WS-MAN (CVE-2019-3707)
 
Dell EMC iDRAC9-versioner før 3.30.30.30 indeholder en sikkerhedsrisiko for omgåelse af godkendelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede inputdata til WS-MAN-webgrænsefladen.
 
CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Løsning:      
Følgende Dell EMC iDRAC-firmwareudgivelser indeholder løsninger på disse sikkerhedsrisici:
 

iDRAC

iDRAC-firmwareversion

iDRAC9

3.20.21,20

3.21.24,22

3.21.26,22

3.23.23,23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60,60

iDRAC7

2.61.60,60

iDRAC6

2.92


Dell EMC anbefaler alle kunder at opgradere hurtigst muligt.  

Bedste praksis fra Dell vedrørende iDRAC:

Ud over vedligeholdelse af opdateret iDRAC-firmware anbefaler Dell også følgende:
  • iDRAC er ikke designet eller beregnet til at blive placeret på eller forbundet til internettet. Det er beregnet til brug i et separat administrationsnetværk.  Direkte placering af iDRAC på eller tilslutning af iDRAC til internettet kan udsætte det tilsluttede system for sikkerhedsrisici og andre risici, som Dell ikke kan gøres ansvarlig for.   
  • Ud over at placere iDRAC på et separat administrationsundernet skal brugere isolere administrationsundernettet/VLAN med teknologier som f. eks. firewalls og begrænse adgangen til undernettet/VLAN til autoriserede serveradministratorer.
  • Dell anbefaler, at kunderne tager højde for eventuelle implementeringsfaktorer, der kan være relevante for deres miljø, og vurdere deres samlede risiko.

Link til afhjælpende foranstaltninger:

Kunderne kan downloade iDRAC-firmware til PowerEdge-servere. For alle andre platforme skal de vælge platformen fra Dells supportwebsted.


Dell anbefaler, at alle brugere bestemmer anvendeligheden af disse oplysninger med henblik på deres individuelle situationer og træffer de nødvendige foranstaltninger. Oplysningerne heri videresendes "som de er og forefindes" uden nogen form for garanti. Dell fraskriver sig enhver garanti, udtrykkelig eller underforstået, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse. Under ingen omstændigheder kan Dell eller dets leverandører gøres erstatningsansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige og specielle skader samt følgeskader og tab af indtjening, selvom Dell eller dets leverandører er blevet underrettet om muligheden for sådanne skader. Visse lande tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, så ovenstående begrænsning gælder muligvis ikke.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top