DSA-2019-028: Dell Technologies iDRAC:n useat haavoittuvuudet
Summary: Dell Technologiesin iDRAC on päivitetty korjaamaan useita haavoittuvuuksia, joiden avulla kyseiset järjestelmät voivat vaarantua.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA-tunniste: DSA-2019-028
CVE-tunniste: CVE-2019-3705, CVE-2019-3706 ja CVE-2019-3707
Vakavuus: Korkea
vakavuusluokitus: Katso alla olevasta Tiedot-osiosta kunkin CVE:n yksittäiset CVSS-pisteet.
Tuotteet, joita asia koskee:
- Dell Technologies iDRAC6 versiota 2.92 vanhemmat versiot (CVE-2019-3705)
- Dell Technologies iDRAC7-/iDRAC8-versiota aiemmat versiot (CVE-2019-3705)
- Dell Technologies iDRAC9 -versiota 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 aiemmat versiot (CVE-2019-3705, CVE-2019-3706 ja CVE-2019-3707)
Cause
Tiedot:
- Puskurin ylivuotohaavoittuvuus (CVE-2019-3705)
Dell Technologiesin versiota 2.92 vanhemmat iDRAC6-versiot, versiota 2.61.60.60 vanhemmat iDRAC7-/iDRAC8-versiot ja versiota 3.20.21.20, 3.21.24.22, 3.21.26.22 ja 3.23.23.23 vanhemmat iDRAC9-versiot sisältävät pinopohjaisen puskurin ylivuotohaavoittuvuuden. Todentamaton etähyökkääjä voi mahdollisesti hyödyntää tätä haavoittuvuutta ja kaataa verkkopalvelimen tai suorittaa satunnaista koodia järjestelmässä verkkopalvelimen oikeuksilla lähettämällä tietyllä tavalla muodostettuja syöttötietoja haavoittuvuuden sisältävään järjestelmään.
CVSSv3-peruspisteet 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Verkkokäyttöliittymän todennuksen ohitushaavoittuvuus (CVE-2019-3706)
Dell Technologiesin iDRAC9-versioissa on aiempia versioita 3.24.24.24, 3.21.26.22, 3.22.22.22 ja 3.21.25.22 sekä 3.21.25.22 edeltävä todennusten ohitushaavoittuvuus. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja tietoja iDRAC-verkkokäyttöliittymään.
CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- WS-MAN-todennuksen ohitushaavoittuvuus (CVE-2019-3707)
Dell Technologiesin iDRAC9-versiota 3.30.30.30 vanhemmat versiot sisältävät todennuksen ohitushaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja syöttötietoja WS-MAN-käyttöliittymään.
CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Seuraavat Dell Technologiesin iDRAC-laiteohjelmistoversiot sisältävät ratkaisuja näihin haavoittuvuuksiin:
|
iDRAC |
iDRAC-laiteohjelmistoversio |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian.
iDRACia koskevat Dellin parhaat käytännöt:
iDRAC-laiteohjelmiston ajantasaisuuden ylläpitämisen lisäksi Dell neuvoo myös seuraavaa:
- iDRACeja ei ole suunniteltu eikä tarkoitettu sijoitettaviksi tai yhdistettäviksi Internetiin. Niiden on tarkoitus olla erillisessä hallintaverkossa. iDRACien sijoittaminen tai liittäminen suoraan Internetiin saattaa altistaa liitetyn järjestelmän tietoturvariskeille ja muille riskeille, joista Dell ei ole vastuussa.
- Käyttäjien on sijoitettava iDRAC-ohjauskoneet erilliseen hallinta-aliverkkoon ja lisäksi eristettävä hallinta-aliverkko/vLAN esimerkiksi palomuurin kaltaisilla tekniikoilla ja rajoitettava aliverkon/vLAN-verkon käyttöoikeus valtuutetuille palvelinten järjestelmänvalvojille.
- Dell Technologies suosittelee, että asiakkaat ottavat huomioon mahdolliset käyttöönottotekijät, joilla voi olla merkitystä heidän ympäristölleen, kun arvioidaan kokonaisriskiä.
Korjauskeinolinkki:
Asiakkaat voivat ladata iDRAC-laiteohjelmiston PowerEdge-palvelimille. Jos kyseessä on muu ympäristö, valitse ympäristö Dellin tukisivustosta.
Dell Technologies suosittelee, että kaikki käyttäjät selvittävät näiden tietojen soveltuvuuden omaan yksilölliseen tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell luopuu kaikista nimenomaisista tai epäsuorista takuista, mukaan lukien takuut myyntikelpoisuudesta, sopivuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dellille tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, joten edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.