DSA-2019-028: Varie vulnerabilità dell'iDRAC di Dell Technologies

ID DSA: DSA-2019-028

ID CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Gravità: Livello di gravità elevato

: Consulta la sezione Dettagli riportata di seguito dei singoli punteggi CVSS per ogni CVE.
                         
Prodotti interessati:
 

• Versioni di Dell Technologies iDRAC6 precedenti alla 2.92 (CVE-2019-3705)
• Dell Technologies iDRAC7/iDRAC8 versioni precedenti alla 2.61.60.60 (CVE-2019-3705)
• Versioni di Dell Technologies iDRAC9 precedenti a 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707)

Dettagli  

• Vulnerabilità di sovraccarico del buffer (CVE-2019-3705)
   

• Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia Web (CVE-2019-3706)

• Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia WS-MAN (CVE-2019-3707)

Le seguenti versioni del firmware iDRAC Dell Technologies contengono risoluzioni a queste vulnerabilità:
 

Dell Technologies consiglia a tutti i clienti di eseguire l'upgrade il prima possibile.  

Best practice Dell relative a iDRAC:

oltre a mantenere aggiornato il firmware iDRAC, Dell consiglia anche:

• Gli iDRAC non sono progettati né destinati a essere collocati o connessi a Internet; Devono trovarsi in una rete di gestione separata. Il posizionamento o la connessione di iDRAC direttamente a Internet potrebbe esporre il sistema connesso a rischi per la sicurezza e ad altri rischi per i quali Dell non è responsabile.   
• Oltre a posizionare iDRAC in una sottorete di gestione separata, gli utenti dovrebbero isolare la sottorete di gestione/vLAN con tecnologie come i firewall e limitarne l'accesso agli amministratori del server autorizzati.
• Dell Technologies consiglia ai clienti di prendere in considerazione eventuali fattori di deployment che potrebbero essere rilevanti per il proprio ambiente per valutare il rischio complessivo.

Link ai rimedi:

I clienti possono scaricare il firmware iDRAC per i server PowerEdge. Per tutte le altre piattaforme, selezionare la piattaforma dal sito del supporto Dell.


Dell Technologies consiglia a tutti gli utenti di determinare l'applicabilità di queste informazioni alle proprie situazioni individuali e di intraprendere le azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell declina tutte le garanzie, esplicite o implicite, incluse le garanzie di commerciabilità, idoneità per uno scopo specifico, titolarità e non violazione. In nessuna circostanza, Dell o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.