Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Dell EMC iDRAC – mehrere Sicherheitslücken

Summary: Dell EMC iDRAC wurde aktualisiert, um mehrere Sicherheitslücken zu beheben, die ausgenutzt werden und die betroffenen Systeme beeinträchtigen können.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA-ID: DSA-2019-028

CVE-Kennzeichnung: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Schweregrad: Hoch

Schweregradbewertung: Einzelne CVSS-Bewertungen für jede CVE finden Sie im Abschnitt „Details“ unten.
                         
Betroffene Produkte:
 
  • Dell EMC iDRAC6-Versionen vor 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9-Versionen vor 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 und CVE-2019-3707)

Zusammenfassung:  
Dell EMC iDRAC wurde aktualisiert, um mehrere Sicherheitslücken zu beheben, die ausgenutzt werden und die betroffenen Systeme beeinträchtigen können.

Details:  
  • Sicherheitslücke: Pufferüberlauf (CVE-2019-3705)
     
Dell EMC iDRAC6-Versionen vor 2.92, iDRAC7-/iDRAC8-Versionen vor 2.61.60.60 und iDRAC9-Versionen vor 3.20.21.20, 3.21.24.22, 3.21.26.22 und 3.23.23.23 enthalten eine Sicherheitslücke im Zusammenhang mit Pufferüberlauf (Stapelüberlauf). Ein nicht authentifizierter Remote-Angreifer kann diese Sicherheitslücke ausnutzen, um einen Absturz des Webservers herbeizuführen oder willkürlichen Code auf dem System mit den Rechten des Webservers auszuführen, indem speziell kodierte Eingabedaten an das betroffene System gesendet werden.

CVSSv3 Basisbewertung 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Sicherheitslücke: Authentifizierungsumgehung bei der Webschnittstelle (CVE-2019-3706)
 
Dell EMC iDRAC9-Versionen vor 3.24.24.24, 3.21.26.22, 3.22.22.22 und 3.21.25.22 enthalten eine Sicherheitslücke im Zusammenhang mit der Umgehung der Authentifizierung. Ein Remote-Angreifer kann diese Sicherheitslücke ausnutzen, um die Authentifizierung zu umgehen und Zugriff auf das System zu erhalten, indem speziell kodierte Daten an die iDRAC-Webschnittstelle gesendet werden.

CVSSv3 Basisbewertung 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Sicherheitslücke: WS-MAN-Authentifizierungsumgehung (CVE-2019-3707)
 
Dell EMC iDRAC9-Versionen vor 3.30.30.30 enthalten eine Sicherheitslücke im Zusammenhang mit der Umgehung der Authentifizierung. Ein Remote-Angreifer kann diese Sicherheitslücke ausnutzen, um die Authentifizierung zu umgehen und Zugriff auf das System zu erhalten, indem speziell kodierte Eingabedaten an die WS-MAN-Schnittstelle gesendet werden.
 
CVSSv3 Basisbewertung 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Lösung:      
Die folgenden Dell EMC iDRAC-Firmware-Versionen enthalten Lösungen für diese Sicherheitslücken:
 

iDRAC

iDRAC-Firmware-Version

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC empfiehlt allen Kunden, bei der nächsten Gelegenheit ein Upgrade durchzuführen.  

Dell Best Practices in Bezug auf iDRAC:

Neben der regelmäßigen Aktualisierung der iDRAC-Firmware empfiehlt Dell außerdem Folgendes:
  • iDRACs sind nicht darauf ausgelegt, ins Internet gestellt oder mit dem Internet verbunden zu werden; sie sollten sich in einem separaten Verwaltungsnetzwerk befinden.  Befinden sich iDRACs direkt im Internet oder sind mit diesem verbunden, können dadurch Sicherheitsrisiken und andere Risiken für das verbundene System entstehen, für die Dell nicht verantwortlich ist.   
  • Über das Einrichten eines separaten Verwaltungs-Subnetzes für iDRACs hinaus sollten Benutzer das Verwaltungs-Subnetz/vLAN mit Technologien wie Firewalls schützen und den Zugriff auf das Subnetz/vLAN auf autorisierte Server-Administratoren beschränken.
  • Dell empfiehlt, dass Kunden die Faktoren der Bereitstellung berücksichtigen, die für Ihre Umgebung relevant sind, um das Gesamtrisiko zu bewerten.

Link zu den empfohlenen Maßnahmen:

Kunden können iDRAC-Firmware für PowerEdge-Server herunterladen. Für alle anderen Plattformen wählen Sie die Plattform von der Dell Support-Website aus.


Dell empfiehlt allen Benutzern, die Anwendbarkeit dieser Informationen in der individuellen Situation zu überprüfen und entsprechende Maßnahmen zu ergreifen. Die hier festgelegte Information werden „wie besehen“ bereit gestellt, ohne jegliche Gewährleistung. Dell übernimmt keinerlei Gewährleistungen, ob in ausdrücklicher oder implizierter Form, einschließlich Gewährleistungen der Handelsüblichkeit, der Eignung für einen bestimmten Zweck, des Rechtsanspruches und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top