Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Meerdere beveiligingslekken in Dell EMC iDRAC

Summary: Dell EMC iDRAC is bijgewerkt om meerdere kwetsbaarheden op te lossen die kunnen worden gebruikt om misbruik te maken van de systemen waarin dit probleem optreedt.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

CVE-identificatie: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Prioriteitsniveau: Hoog

Prioriteitsniveau: Zie het gedeelte Details hieronder voor de afzonderlijke CVSS-scores per CVE
                         
Betreffende producten:
 
  • Dell EMC iDRAC6 versies vóór 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7/iDRAC8 versies vóór 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9 versies vóór 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 en CVE-2019-3707)

Samenvatting:  
Dell EMC iDRAC is bijgewerkt om meerdere kwetsbaarheden op te lossen die kunnen worden gebruikt om misbruik te maken van de systemen waarin dit probleem optreedt.

Details:  
  • Beveiligingslek door bufferoverschrijding (CVE-2019-3705)
     
Dell EMC iDRAC6 versies vóór 2.92, iDRAC7/iDRAC8 versies vóór 2.61.60.60 en iDRAC9 versies vóór 3.20.21.20, 3.21.24.22, 3.21.26.22 en 3.23.23.23 bevatten een beveiligingslek met betrekking tot een bufferoveschrijding op de stack. Een externe aanvaller kan misbruik maken van dit beveiligingslek door willekeurige code in het systeem uit te voeren met de rechten van de webserver door speciaal gemaakte invoerdata naar het getroffen systeem te sturen.

CVSSv3 basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Beveiligingslek met betrekking tot het omzeilen van webinterface-authenticatie (CVE-2019-3706)
 
Dell EMC iDRAC9 versies vóór 3.24.24.24, 3.21.26.22, 3.22.22.22 en 3.21.25.22 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal ontworpen data te verzenden naar de iDRAC webinterface.

CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Beveiligingslek met betrekking tot het omzeilen van WS-MAN-authenticatie (CVE-2019-3707)
 
Dell EMC iDRAC9 versies vóór 3.30.30.30 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal vervaardigde invoerdata te verzenden naar de WS-MAN interface.
 
CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolutie:      
De volgende versie van Dell EMC iDRAC-firmware bevat oplossingen voor deze beveiligingslekken:
 

iDRAC

iDRAC-firmwareversie

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC raadt alle klanten aan om zo snel mogelijk te upgraden.  

Best Practices van Dell met betrekking tot iDRAC:

Naast het up-to-date houden van iDRAC-firmware, adviseert Dell ook het volgende:
  • iDRAC's zijn niet ontworpen of bedoeld om op het internet te worden geplaatst of hiermee te worden verbonden. Ze zijn een afzonderlijk beheernetwerk.  Door een iDRAC op het internet te plaatsen of hierop aan te sluiten, kan het aangesloten systeem worden blootgesteld aan beveiligings- en andere risico's waar Dell niet verantwoordelijk voor kan worden gehouden.   
  • Gebruikers moeten iDRAC's op een afzonderlijk beheer-subnet plaatsen en dit beheer-subnet/vLAN isoleren met technologieën zoals firewalls en toegang tot het subnet/vLAN beperken voor geautoriseerde beheerders.
  • Dell adviseert klanten om naar de relevante implementatiefactoren voor hun omgeving te kijken en de algemene risico's in te schatten.

Koppeling naar oplossingen:

Klanten kunnen iDRAC firmware voor PowerEdge servers downloaden. Voor alle andere platforms selecteert u het platform op de Dell Support website.


Dell adviseert alle gebruikers om na te gaan of deze informatie voor hun eigen situatie geldt en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell wijst alle garanties, hetzij uitdrukkelijk of impliciet, af, inclusief de garanties van verhandelbaarheid, geschiktheid voor een bepaald doel, titel en niet-schending. Dell of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top