Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Dell EMC iDRAC -ohjelman useat haavoittuvuudet

Summary: Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA-tunniste: DSA-2019-028

CVE-tunniste: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Vakavuusaste: suuri

Vakavuusluokitus: katso kunkin CVE:n yksittäiset CVSS-pisteet Tiedot-kohdasta
                         
Tuotteet, joita asia koskee:
 
  • Dell EMC iDRAC6 -versiot, jotka ovat vanhempia kuin versio 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7/iDRAC8 -versiot, jotka ovat vanhempia kuin versio 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 ja CVE-2019-3707)

Yhteenveto:  
Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.

Tiedot:  
  • Puskurin ylivuotohaavoittuvuus (CVE-2019-3705)
     
Dell EMC iDRAC6 -versiot, jotka ovat vanhempia kuin versio 2.92, iDRAC7/iDRAC8 -versiot, jotka ovat vanhempia kuin versio 2.61.60.60, ja iDRAC9-versiot, jotka ovat vanhempia kuin versio 3.20.21.20, 3.21.24.22, 3.21.26.22 ja 3.23.23.23, sisältävät pinoperustaisen puskurin ylivuotohaavoittuvuuden. Todentamaton etähyökkääjä voi mahdollisesti hyödyntää tätä haavoittuvuutta ja kaataa verkkopalvelimen tai suorittaa satunnaista koodia järjestelmässä verkkopalvelimen oikeuksilla lähettämällä tietyllä tavalla muodostettuja syöttötietoja haavoittuvuuden sisältävään järjestelmään.

CVSSv3-peruspisteet 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Verkkokäyttöliittymän todennuksen ohitushaavoittuvuus (CVE-2019-3706)
 
Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.24.24.24, 3.21.26.22, 3.22.22.22 ja 3.21.25.22, sisältävät todennuksen ohitushaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja tietoja iDRAC-verkkokäyttöliittymään.

CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • WS-MAN-todennuksen ohitushaavoittuvuus (CVE-2019-3707)
 
Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.30.30.30, sisältävät todennuksen ohitushaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja syöttötietoja WS-MAN-käyttöliittymään.
 
CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Ratkaisu:      
Seuraavat Dell EMC iDRAC -laiteohjelmistojulkaisut sisältävät korjauksen näihin haavoittuvuuksiin:
 

iDRAC

iDRAC-laiteohjelmistoversio

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian.  

Dellin parhaat iDRAC-käytännöt:

Dell suosittelee iDRAC-laiteohjelmiston pitämistä ajan tasalla ja lisäksi seuraavia:
  • iDRAC-ohjauskoneita ei ole tarkoitettu sijoitettaviksi Internetiin tai olemaan yhteydessä Internetiin. Ne on tarkoitus sijoittaa erilliseen hallintaverkkoon.  iDRAC-ohjauskoneiden sijoittaminen tai yhdistäminen suoraan Internetiin voi altistaa yhdistetyn järjestelmän suojausriskeille ja muille riskeille, joista Dell ei ole vastuussa.   
  • Käyttäjien on sijoitettava iDRAC-ohjauskoneet erilliseen hallinta-aliverkkoon ja lisäksi eristettävä hallinta-aliverkko/vLAN esimerkiksi palomuurin kaltaisilla tekniikoilla ja rajoitettava aliverkon/vLAN-verkon käyttöoikeus valtuutetuille palvelinten järjestelmänvalvojille.
  • Dell suosittelee, että asiakkaat huomioivat riskiä arvioidessaan mahdolliset ympäristöä koskevat käyttöönottotekijät.

Linkki korjauksiin:

Asiakkaat voivat ladata iDRAC-laiteohjelmiston PowerEdge-palvelimille. Valitse muissa ympäristöissä ympäristö Dellin tukisivustossa.


Dell suosittelee, että kaikki käyttäjät selvittävät näiden tietojen soveltuvuuden omaan tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell sanoutuu irti kaikista nimenomaisista tai oletetuista takuista, mukaan lukien takuut myyntikelpoisuudesta, soveltuvuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dellille tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top