DSA-2019-028: Múltiples vulnerabilidades de iDRAC de Dell Technologies

Summary: Se actualizó iDRAC de Dell Technologies para abordar múltiples vulnerabilidades que podrían aprovecharse para comprometer los sistemas afectados.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

ID de DSA: Identificador CVE DSA-2019-028

: Gravedad de CVE-2019-3705, CVE-2019-3706 y CVE-2019-3707

: Clasificación de gravedad alta

: Consulte la sección Detalles a continuación de las puntuaciones individuales de CVSS para cada CVE.
                         
Productos afectados:
 

  • Versiones de iDRAC6 de Dell Technologies anteriores a 2.92 (CVE-2019-3705)
  • Versiones de Dell Technologies iDRAC7/iDRAC8 anteriores a 2.61.60.60 (CVE-2019-3705)
  • Versiones de iDRAC9 de Dell Technologies anteriores a 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 y CVE-2019-3707)

Cause

Detalles:  

  • Vulnerabilidad de desbordamiento de buffer (CVE-2019-3705)
     
Las versiones de iDRAC6 de Dell Technologies anteriores a 2.92, las versiones de iDRAC7/iDRAC8 anteriores a 2.61.60.60 y las versiones de iDRAC9 anteriores a 3.20.21.20, 3.21.24.22, 3.21.26.22 y 3.23.23.23 contienen una vulnerabilidad de desbordamiento de buffer basada en pilas. Un atacante remoto no autenticado podría aprovechar potencialmente esta vulnerabilidad para bloquear el servidor web o ejecutar código arbitrario en el sistema con privilegios del servidor web mediante el envío de datos de entrada especialmente diseñados al sistema afectado.

Puntuación base de CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Vulnerabilidad de omisión de autenticación de interfaz web (CVE-2019-3706)
 
Las versiones de iDRAC9 de Dell Technologies anteriores a 3.24.24.24, 3.21.26.22, 3.22.22.22 y 3.21.25.22 contienen una vulnerabilidad de omisión de autenticación. Un atacante remoto podría aprovechar potencialmente esta vulnerabilidad para eludir la autenticación y obtener acceso al sistema mediante el envío de datos especialmente diseñados a la interfaz web de iDRAC.

Puntuación base de CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Vulnerabilidad de omisión de autenticación de WS-MAN (CVE-2019-3707)
 
Las versiones de iDRAC9 de Dell Technologies anteriores a 3.30.30.30 contienen una vulnerabilidad de omisión de autenticación. Un atacante remoto podría aprovechar potencialmente esta vulnerabilidad para eludir la autenticación y obtener acceso al sistema mediante el envío de datos de entrada especialmente diseñados a la interfaz de WS-MAN.
 
Puntuación base de CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolution

Las siguientes versiones de firmware de iDRAC de Dell Technologies contienen soluciones para estas vulnerabilidades:
 

iDRAC

Versión de firmware de iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92



Dell Technologies recomienda que todos los clientes actualicen lo antes posible.  

Prácticas recomendadas de Dell con respecto a iDRAC:

Además de mantener actualizado el firmware de iDRAC, Dell también aconseja lo siguiente:

  • Las iDRAC no están diseñadas ni destinadas a ser colocadas ni conectadas a Internet; Están diseñados para estar en una red de administración independiente. Colocar o conectar iDRAC directamente a Internet podría exponer el sistema conectado a riesgos de seguridad y otros riesgos de los cuales Dell no es responsable.   
  • Además de ubicar las iDRAC en una subred de administración separada, los usuarios deben aislar la subred de administración/vLAN con tecnologías como firewalls y limitar el acceso a la subred/vLAN a los administradores de servidor autorizados.
  • Dell Technologies recomienda que los clientes consideren cualquier factor de implementación que pueda ser relevante para su entorno a fin de evaluar su riesgo general.


Enlace a soluciones:

Los clientes pueden descargar el firmware de iDRAC para servidores PowerEdge. Para todas las demás plataformas, seleccione la plataforma en el sitio de soporte de Dell.


Dell Technologies recomienda que todos los usuarios determinen la aplicabilidad de esta información a sus situaciones individuales y tomen las medidas adecuadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell renuncia a todas las garantías, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un fin determinado, título y ausencia de infracción. En ningún caso Dell ni sus proveedores serán responsables de daños, incluidos daños directos, indirectos, casuales y consecuentes, ni pérdida de ganancias comerciales o daños especiales, incluso si a Dell o sus proveedores se les advirtió acerca de la posibilidad de que tales daños ocurran. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.

Affected Products

iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80 , iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01 ...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.