DSA ID: DSA-2019-028
CVE-identificatie: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Prioriteitsniveau: Hoog
Prioriteitsniveau: Zie het gedeelte Details hieronder voor de afzonderlijke CVSS-scores per CVE
Betreffende producten:
- Dell EMC iDRAC6 versies vóór 2.92 (CVE-2019-3705)
- Dell EMC iDRAC7/iDRAC8 versies vóór 2.61.60.60 (CVE-2019-3705)
- Dell EMC iDRAC9 versies vóór 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 en CVE-2019-3707)
Samenvatting:
Dell EMC iDRAC is bijgewerkt om meerdere kwetsbaarheden op te lossen die kunnen worden gebruikt om misbruik te maken van de systemen waarin dit probleem optreedt.
Details:
- Beveiligingslek door bufferoverschrijding (CVE-2019-3705)
Dell EMC iDRAC6 versies vóór 2.92, iDRAC7/iDRAC8 versies vóór 2.61.60.60 en iDRAC9 versies vóór 3.20.21.20, 3.21.24.22, 3.21.26.22 en 3.23.23.23 bevatten een beveiligingslek met betrekking tot een bufferoveschrijding op de stack. Een externe aanvaller kan misbruik maken van dit beveiligingslek door willekeurige code in het systeem uit te voeren met de rechten van de webserver door speciaal gemaakte invoerdata naar het getroffen systeem te sturen.
CVSSv3 basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Beveiligingslek met betrekking tot het omzeilen van webinterface-authenticatie (CVE-2019-3706)
Dell EMC iDRAC9 versies vóór 3.24.24.24, 3.21.26.22, 3.22.22.22 en 3.21.25.22 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal ontworpen data te verzenden naar de iDRAC webinterface.
CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Beveiligingslek met betrekking tot het omzeilen van WS-MAN-authenticatie (CVE-2019-3707)
Dell EMC iDRAC9 versies vóór 3.30.30.30 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal vervaardigde invoerdata te verzenden naar de WS-MAN interface.
CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolutie:
De volgende versie van Dell EMC iDRAC-firmware bevat oplossingen voor deze beveiligingslekken:
iDRAC |
iDRAC-firmwareversie |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
Dell EMC raadt alle klanten aan om zo snel mogelijk te upgraden.
Best Practices van Dell met betrekking tot iDRAC:
Naast het up-to-date houden van iDRAC-firmware, adviseert Dell ook het volgende:
- iDRAC's zijn niet ontworpen of bedoeld om op het internet te worden geplaatst of hiermee te worden verbonden. Ze zijn een afzonderlijk beheernetwerk. Door een iDRAC op het internet te plaatsen of hierop aan te sluiten, kan het aangesloten systeem worden blootgesteld aan beveiligings- en andere risico's waar Dell niet verantwoordelijk voor kan worden gehouden.
- Gebruikers moeten iDRAC's op een afzonderlijk beheer-subnet plaatsen en dit beheer-subnet/vLAN isoleren met technologieën zoals firewalls en toegang tot het subnet/vLAN beperken voor geautoriseerde beheerders.
- Dell adviseert klanten om naar de relevante implementatiefactoren voor hun omgeving te kijken en de algemene risico's in te schatten.
Koppeling naar oplossingen:
Klanten kunnen iDRAC firmware voor
PowerEdge servers downloaden. Voor alle andere platforms selecteert u het platform op de
Dell Support website.
Dell adviseert alle gebruikers om na te gaan of deze informatie voor hun eigen situatie geldt en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell wijst alle garanties, hetzij uitdrukkelijk of impliciet, af, inclusief de garanties van verhandelbaarheid, geschiktheid voor een bepaald doel, titel en niet-schending. Dell of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.