DSA-2019-028 : Vulnérabilités multiples de l’iDRAC Dell Technologies

ID DSA : DSA-2019-028

CVE Identifier : CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Gravité : Indice de gravité élevé

: Reportez-vous à la section Détails ci-dessous pour connaître les scores CVSS individuels pour chaque CVE.
                         
Produits concernés :
 

• Dell Technologies iDRAC6 versions antérieures à la version 2.92 (CVE-2019-3705)
• Versions Dell Technologies iDRAC7/iDRAC8 antérieures à la version 2.61.60.60 (CVE-2019-3705)
• Dell Technologies iDRAC9 versions antérieures à 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 et CVE-2019-3707)

Détails :  

• Vulnérabilité de saturation de la mémoire tampon (CVE-2019-3705)
   

• Vulnérabilité de contournement de l’authentification de l’interface Web (CVE-2019-3706)

• Vulnérabilité de contournement de l’authentification WS-MAN (CVE-2019-3707)

Les versions suivantes du firmware iDRAC Dell Technologies contiennent des solutions pour ces failles de sécurité :
 

Dell Technologies recommande à tous les clients d’effectuer la mise à niveau dès que possible.  

Pratiques d’excellence de Dell concernant l’iDRAC :

outre le maintien à jour du firmware iDRAC, Dell conseille également ce qui suit :

• Les iDRAC ne sont pas conçus ni destinés à être placés sur ou connectés à Internet ; Ils sont destinés à se trouver sur un réseau de gestion distinct. La mise en place ou la connexion d’iDRAC directement à Internet peut exposer le système connecté à des risques de sécurité et autres pour lesquels Dell n’est pas responsable.   
• L’utilisateur est donc invité à installer les contrôleurs iDRAC sur un sous-réseau de gestion distinct, à isoler ce réseau/VLAN des technologies de type pare-feu et à limiter l’accès au sous-réseau/VLAN aux seuls administrateurs de serveurs autorisés.
• Dell Technologies recommande aux clients de prendre en compte tous les facteurs de déploiement susceptibles d’être pertinents pour leur environnement afin d’évaluer leur risque global.

Lien vers les solutions :

les clients peuvent télécharger le firmware iDRAC pour les serveurs PowerEdge. Pour toutes les autres plates-formes, sélectionnez la plate-forme sur le site de support Dell.


Dell Technologies recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation personnelle et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, notamment les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et d’absence de contrefaçon. En aucun cas, Dell ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris en cas de dommages directs, indirects, induits ou accidentels, de perte d’exploitation ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.