DSA ID: DSA-2019-028
Identificativo CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Priorità: alta
Valutazione del livello di gravità: vedere di seguito la sezione Dettagli dei singoli punteggi CVSS per ogni CVE
Prodotti interessati:
- Versioni di Dell EMC iDRAC6 precedenti alla 2.92 (CVE-2019-3705)
- Versioni di Dell EMC iDRAC7/iDRAC8 precedenti alla 2.61.60.60 (CVE-2019-3705)
- Versioni di Dell EMC iDRAC9 precedenti alla 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707)
Riepilogo
Dell EMC iDRAC è stato aggiornato per risolvere diverse vulnerabilità che possono essere potenzialmente sfruttate per compromettere i sistemi interessati.
Dettagli
- Vulnerabilità di sovraccarico del buffer (CVE-2019-3705)
Le versioni di Dell EMC iDRAC6 precedenti alla 2.92, le versioni di iDRAC7/iDRAC8 precedenti alla 2.61.60.60 e le versioni di iDRAC9 precedenti alla 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contengono una vulnerabilità di sovraccarico del buffer basata su stack. Un utente remoto malintenzionato non autenticato potrebbe sfruttare questa vulnerabilità per arrestare il server Web oppure eseguire codice arbitrario sul sistema con i privilegi del server Web inviando dati di input appositamente predisposti al sistema interessato.
Punteggio base CVSSv3 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia Web (CVE-2019-3706)
Le versioni di Dell EMC iDRAC9 precedenti alla 3.24.24.24, 3.21.26.22, 3.22.22.22 e 3.21.25.22 contengono una vulnerabilità legata all'elusione dell'autenticazione. Un utente malintenzionato remoto potrebbe sfruttare questa vulnerabilità per eludere l'autenticazione e accedere al sistema inviando dati appositamente predisposti all'interfaccia Web di iDRAC.
Punteggio base CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Vulnerabilità legata all'elusione dell'autenticazione dell'interfaccia WS-MAN (CVE-2019-3707)
Le versioni di Dell EMC iDRAC9 3.30.30.30 contengono una vulnerabilità legata all'elusione dell'autenticazione. Un utente malintenzionato remoto potrebbe sfruttare questa vulnerabilità per eludere l'autenticazione e accedere al sistema inviando dati appositamente predisposti all'interfaccia WS-MAN.
Punteggio base CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Risoluzione:
Le seguenti versioni firmware di Dell EMC iDRAC contengono le risoluzioni per queste vulnerabilità:
iDRAC |
Versione firmware di iDRAC |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
Dell EMC consiglia a tutti i clienti di effettuare l'aggiornamento il più presto possibile.
Procedure consigliate di Dell relative a iDRAC:
Oltre all'aggiornamento del firmware iDRAC, Dell consiglia anche quanto riportato di seguito:
- iDRAC non è progettato né destinato alla pubblicazione o connessione a Internet, ma a una rete di gestione separata. La pubblicazione o la connessione diretta di iDRAC a Internet potrebbe esporre il sistema connesso a rischi legati alla sicurezza e di altro tipo per i quali Dell non è responsabile.
- Oltre a posizionare iDRAC in una sottorete di gestione separata, gli utenti dovrebbero isolare la sottorete di gestione/vLAN con tecnologie come i firewall e limitarne l'accesso agli amministratori del server autorizzati.
- Dell consiglia ai clienti di tenere conto di ogni fattore di implementazione che possa essere rilevante per il loro ambiente operativo al fine di valutare il rischio complessivo.
Collegamento alle soluzioni:
I clienti possono scaricare il firmware di iDRAC per i
server PowerEdge. Per tutte le altre piattaforme, selezionare la piattaforma nel
sito del supporto Dell.
Dell consiglia a tutti gli utenti di valutare l'applicabilità di queste informazioni per le rispettive situazioni specifiche e di intraprendere azioni appropriate. Le informazioni qui illustrate sono fornite "così come sono", senza esprimere alcuna garanzia in merito. Dell declina tutte le garanzie espresse o implicite, comprese eventuali garanzie di commerciabilità, idoneità per finalità particolari, titolo e non violazione. In nessuna circostanza, Dell o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, accidentali, consequenziali, perdita di utili o danni speciali, anche qualora Dell o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.