DSA-2019-028: Dell Technologies iDRACの複数の脆弱性

Summary: デル・テクノロジーズのiDRACは、影響を受けるシステムを侵害するために悪用される可能性のある複数の脆弱性に対処するように更新されました。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

DSA ID:DSA-2019-028

CVE識別子: CVE-2019-3705、CVE-2019-3706、CVE-2019-3707

重大度: 重要度

各CVEの個々のCVSSスコアについては、以下の「詳細」セクションを参照してください。
                         
対象製品:
 

  • Dell Technologies iDRAC6 2.92より前のバージョン(CVE-2019-3705)
  • 2.61.60.60より前のDell Technologies iDRAC7/iDRAC8バージョン(CVE-2019-3705)
  • 3.30.30.30、3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23、3.24.24.24、3.22.22.22、3.21.25.22(CVE-2019-3705、CVE-2019-3706、CVE-2019-3707)より前のDell Technologies iDRAC9バージョン

Cause

詳細:  

  • バッファー オーバーフロー脆弱性(CVE-2019-3705)
     
デル・テクノロジーズのiDRAC6バージョン2.92より前、iDRAC7/iDRAC8バージョン2.61.60.60より前、iDRAC9バージョン3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23より前のバージョンには、スタックベースのバッファー オーバーフローの脆弱性が含まれています。認証されていないリモートの攻撃者はこの脆弱性を悪用して、影響を受けるシステムに特別に作成された入力データを送信し、Webサーバーをクラッシュさせること、またはFWebサーバーの権限を持つシステム上で任意のコードを実行する場合があります。

CVSSv3基本スコア8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Webインターフェイス認証のバイパスの脆弱性(CVE-2019-3706)
 
3.24.24.24、3.21.26.22、3.22.22.22、3.21.25.22より前のDell Technologies iDRAC9バージョンには、認証バイパスの脆弱性が含まれています。リモートの攻撃者はこの脆弱性を悪用して、特別に作成された入力データをiDRAC Webインターフェイスに送信し、認証をバイパスして、システムに対するアクセスを得る場合があります。

CVSSv3基本スコア8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • WS-MAN認証のバイパスの脆弱性(CVE-2019-3707)
 
3.30.30.30より前のDell Technologies iDRAC9バージョンには、認証バイパスの脆弱性が含まれています。リモートの攻撃者はこの脆弱性を悪用して、特別に作成された入力データをWS-MANインターフェイスに送信し、認証をバイパスして、システムに対するアクセスを得る場合があります。
 
CVSSv3基本スコア8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolution

次のデル・テクノロジーズiDRACファームウェア リリースには、これらの脆弱性に対する解決策が含まれています。
 

iDRAC

iDRACのファームウェア バージョン

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92



デル・テクノロジーズでは、すべてのお客様にできるだけ早い機会にアップグレードすることをお勧めします。  

iDRACに関するDellのベスト プラクティス:

最新のiDRACファームウェアを維持することに加えて、Dellでは次のことをアドバイスしています。

  • iDRACは、インターネット上に配置したり、インターネットに接続したりすることを設計または意図したものではありません。これらは、別の管理ネットワーク上に配置することを目的としています。iDRACをインターネットに直接配置または接続すると、接続されたシステムがセキュリティやその他のリスクにさらされる可能性があり、Dellはそのようなリスクに対して一切の責任を負いません。   
  • 独立した管理サブネットでiDRACを使用するのと同時に、ファイアウォールなどのテクノロジーを使用して管理サブネット/vLANを分離し、また管理サブネット/vLANへのアクセスは権限のあるサーバー管理者に限定するようにしてください。
  • デル・テクノロジーズでは、お客様の環境に関連する導入要因を検討して、全体的なリスクを評価することをお勧めします。


救済措置へのリンク:

お客様は 、PowerEdgeサーバー用のiDRACファームウェアをダウンロードできます。その他のすべてのプラットフォームについては、 Dellサポート サイトからプラットフォームを選択してください


デル・テクノロジーズでは、すべてのユーザーが個々の状況にこの情報が当てはまるかどうかを判断し、適切な措置を講じることをお勧めします。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。Dellは、市販性、特定目的への適合性、権原、および非侵害の保証を含め、明示または黙示を問わず、すべての保証を放棄します。デルとそのサプライヤーは、当該損害の可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。

Affected Products

iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80 , iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01 ...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.