DSA-2019-028 : multiples vulnérabilités de l’iDRAC Dell EMC

Référence DSA : DSA-2019-028

Identificateur CVE : CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Gravité : haute

Niveau de gravité : voir la section Détails ci-dessous pour connaître les scores CVSS individuels pour chaque CVE
                         
Produits concernés :
 

• Versions iDRAC6 Dell EMC antérieures à la version 2.92 (CVE-2019-3705)
• Versions iDRAC7/iDRAC8 Dell EMC antérieures à la version 2.61.60.60 (CVE-2019-3705)
• Versions iDRAC9 Dell EMC antérieures aux versions 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 et CVE-2019-3707)

Résumé :  
Le module iDRAC Dell EMC a été mis à jour afin de résoudre plusieurs vulnérabilités qui peuvent potentiellement être exploitées pour compromettre les systèmes concernés.

Détails :  

• Vulnérabilité de saturation de la mémoire tampon (CVE-2019-3705)
   

• Vulnérabilité de contournement de l’authentification de l’interface Web (CVE-2019-3706)

• Vulnérabilité de contournement de l’authentification WS-MAN (CVE-2019-3707)

Résolution :      
Les versions suivantes du micrologiciel iDRAC Dell EMC intègrent une solution pour contrer ces vulnérabilités :
 

iDRAC	Version du firmware iDRAC
iDRAC9	3.20.21.20
	3.21.24.22
	3.21.26.22
	3.23.23.23
	3.24.24.24
	3.22.22.22
	3.21.25.22
	3.30.30.30
iDRAC8	2.61.60.60
iDRAC7	2.61.60.60
iDRAC6	2.92

Dell EMC recommande à tous les clients d’effectuer la mise à niveau dès que possible.  

Pratiques d’excellence Dell concernant l’iDRAC :

Outre une mise à jour régulière du firmware iDRAC, Dell recommande de tenir compte des remarques suivantes :

• iDRAC n’est ni conçu ni destiné à être placé sur Internet ou à y être connecté ; il est destiné à être installé sur un réseau de gestion distinct.  Le fait de placer ou de connecter le contrôleur iDRAC directement sur Internet peut exposer le système connecté à des menaces de sécurité et à d’autres risques pour lesquels Dell décline toute responsabilité.   
• L’utilisateur est donc invité à installer les contrôleurs iDRAC sur un sous-réseau de gestion distinct, à isoler ce réseau/VLAN des technologies de type pare-feu et à limiter l’accès au sous-réseau/VLAN aux seuls administrateurs de serveurs autorisés.
• Dell recommande aux clients de prendre en compte tout facteur de déploiement qui pourrait s’appliquer à leur environnement pour évaluer leur risque global.

Lien vers les solutions :

Les clients peuvent télécharger le firmware iDRAC pour les serveurs PowerEdge. Pour toutes les autres plates-formes, veuillez sélectionner la plate-forme concernée à partir du site de support Dell.


Dell recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. En aucun cas, Dell ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris en cas de dommages directs, indirects, induits ou accidentels, de perte d’exploitation ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.