DSA-2019-028: Mehrere iDRAC-Sicherheitslücken von Dell Technologies

DSA ID: DSA-2019-028

CVE-Kennung: Schweregrad CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

: Hohe

Schweregradbewertung: Weitere Informationen zu den einzelnen CVSS-Bewertungen für jede CVE finden Sie im Abschnitt "Details" unten.
                         
Betroffene Produkte:
 

• Dell Technologies iDRAC6-Versionen vor 2.92 (CVE-2019-3705)
• Dell Technologies iDRAC7/iDRAC8-Versionen vor 2.61.60.60 (CVE-2019-3705)
• Dell Technologies iDRAC9-Versionen vor 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 und CVE-2019-3707)

Details:  

• Sicherheitslücke: Pufferüberlauf (CVE-2019-3705)
   

• Sicherheitslücke: Authentifizierungsumgehung bei der Webschnittstelle (CVE-2019-3706)

• Sicherheitslücke: WS-MAN-Authentifizierungsumgehung (CVE-2019-3707)

Die folgenden Dell Technologies iDRAC-Firmwareversionen enthalten Lösungen für diese Sicherheitslücken:
 

Dell Technologies empfiehlt allen Kunden, so bald wie möglich ein Upgrade durchzuführen.  

Dell Best Practices für iDRAC:

Neben der Aktualisierung der aktuellen iDRAC-Firmware rät Dell auch zu Folgendem:

• iDRACs sind nicht dafür konzipiert oder dafür bestimmt, im Internet platziert oder mit dem Internet verbunden zu werden. Sie sollen sich in einem separaten Managementnetzwerk befinden. Das Platzieren oder Verbinden von iDRACs direkt mit dem Internet kann das verbundene System Sicherheitsrisiken und anderen Risiken aussetzen, für die Dell nicht verantwortlich ist.   
• Über das Einrichten eines separaten Verwaltungs-Subnetzes für iDRACs hinaus sollten Benutzer das Verwaltungs-Subnetz/vLAN mit Technologien wie Firewalls schützen und den Zugriff auf das Subnetz/vLAN auf autorisierte Server-Administratoren beschränken.
• Dell Technologies empfiehlt Kunden, alle Bereitstellungsfaktoren zu berücksichtigen, die für ihre Umgebung relevant sein könnten, um ihr Gesamtrisiko zu bewerten.

Link zu Abhilfemaßnahmen:

Kunden können iDRAC-Firmware für PowerEdge-Server herunterladen. Wählen Sie für alle anderen Plattformen die Plattform auf der Dell Support-Website aus.


Dell Technologies empfiehlt allen NutzerInnen, die Anwendbarkeit dieser Informationen auf ihre individuelle Situation zu ermitteln und entsprechende Maßnahmen zu ergreifen. Die hier festgelegte Information werden „wie besehen“ bereitgestellt, ohne jegliche Gewährleistung. Dell übernimmt keinerlei ausdrückliche oder stillschweigende Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Dell oder seine Lieferanten haftbar für Schäden jeglicher Art, einschließlich direkter oder indirekter Schäden, beiläufig entstandene oder Folgeschäden, entgangene Gewinne oder Sonderschäden, auch dann nicht, wenn Dell oder seine Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder beiläufig entstandene Schäden nicht zulässig, deshalb ist die vorstehende Einschränkung möglicherweise nicht relevant.