Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: diverse vulnerabilità di Dell EMC iDRAC

Summary: Dell EMC iDRAC è stato aggiornato per risolvere diverse vulnerabilità che possono essere potenzialmente sfruttate per compromettere i sistemi interessati.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

Identificativo CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Priorità: alta

Valutazione del livello di gravità: vedere di seguito la sezione Dettagli dei singoli punteggi CVSS per ogni CVE
                         
Prodotti interessati:
 
  • Versioni di Dell EMC iDRAC6 precedenti alla 2.92 (CVE-2019-3705)
  • Versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 (CVE-2019-3705)
  • Versioni di Dell EMC iDRAC9 precedenti alla 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707)

Riepilogo  
Dell EMC iDRAC è stato aggiornato per risolvere diverse vulnerabilità che possono essere potenzialmente sfruttate per compromettere i sistemi interessati.

Dettagli  
  • Vulnerabilità di sovraccarico del buffer (CVE-2019-3705)
     
Le versioni di Dell EMC iDRAC6 precedenti alla 2.92, le versioni di iDRAC7/iDRAC8 precedenti alla 2.61.60.60 e le versioni di iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contengono una vulnerabilità di sovraccarico del buffer basata su stack. Un utente remoto malintenzionato non autenticato potrebbe sfruttare questa vulnerabilità per arrestare il server Web oppure eseguire codice arbitrario sul sistema con i privilegi del server Web inviando dati di input appositamente predisposti al sistema interessato.

Punteggio base CVSSv3 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia Web (CVE-2019-3706)
 
Le versioni di Dell EMC iDRAC9 precedenti alla 3.24.24.24, 3.21.26.22, 3.22.22.22 e 3.21.25.22 contengono una vulnerabilità legata all'elusione dell'autenticazione. Un utente malintenzionato remoto potrebbe sfruttare questa vulnerabilità per eludere l'autenticazione e accedere al sistema inviando dati appositamente predisposti all'interfaccia Web di iDRAC.

Punteggio base CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia WS-MAN (CVE-2019-3707)
 
Le versioni di Dell EMC iDRAC9 3.30.30.30 contengono una vulnerabilità legata all'elusione dell'autenticazione. Un utente malintenzionato remoto potrebbe sfruttare questa vulnerabilità per eludere l'autenticazione e accedere al sistema inviando dati appositamente predisposti all'interfaccia WS-MAN.
 
Punteggio base CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Risoluzione:      
Le seguenti versioni firmware di Dell EMC iDRAC contengono le risoluzioni per queste vulnerabilità:
 

iDRAC

Versione firmware di iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC consiglia a tutti i clienti di effettuare l'aggiornamento il più presto possibile.  

Procedure consigliate di Dell relative a iDRAC:

Oltre all'aggiornamento del firmware iDRAC, Dell consiglia anche quanto riportato di seguito:
  • iDRAC non è progettato né destinato alla pubblicazione o connessione a Internet, ma a una rete di gestione separata.  La pubblicazione o la connessione diretta di iDRAC a Internet potrebbe esporre il sistema connesso a rischi legati alla sicurezza e di altro tipo per i quali Dell non è responsabile.   
  • Oltre a posizionare iDRAC in una sottorete di gestione separata, gli utenti dovrebbero isolare la sottorete di gestione/vLAN con tecnologie come i firewall e limitarne l'accesso agli amministratori del server autorizzati.
  • Dell consiglia ai clienti di tenere conto di ogni fattore di implementazione che possa essere rilevante per il loro ambiente operativo al fine di valutare il rischio complessivo.

Collegamento alle soluzioni:

I clienti possono scaricare il firmware di iDRAC per i server PowerEdge. Per tutte le altre piattaforme, selezionare la piattaforma nel sito del supporto Dell.


Dell consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell declina tutte le garanzie espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top