DSA-2019-028: Flere sikkerhetsproblemer med Dell Technologies iDRAC
Summary: Dell Technologies iDRAC er oppdatert for å håndtere flere sikkerhetsproblemer som kan utnyttes til å skade de berørte systemene.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA-ID: DSA-2019-028
CVE Identifier: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Alvorlighetsgrad: Høy
alvorlighetsgrad: Se delen Detaljer nedenfor om individuelle CVSS-poengsummer for hver CVE.
Berørte produkter:
- Dell Technologies iDRAC6-versjoner før 2.92 (CVE-2019-3705)
- Dell Technologies iDRAC7/iDRAC8-versjoner som er eldre enn 2.61.60.60 (CVE-2019-3705)
- Dell Technologies iDRAC9-versjoner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 og CVE-2019-3707)
Cause
Detaljer:
- Sikkerhetsproblemer ved bufferoverløp (CVE-2019-3705)
Dell Technologies iDRAC6-versjoner før 2.92, iDRAC7/iDRAC8-versjoner før 2.61.60.60 og iDRAC9-versjoner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 inneholder et stabelbasert sikkerhetsproblem med bufferoverflyt. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å krasje nettserveren eller kjøre en vilkårlig kode på systemet med privilegier for nettserveren ved å sende spesiallagde inndata til det berørte systemet.
CVSSv3-grunnpoengsum: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Sikkerhetsproblemet ved omgåelse av godkjenning av nettverksgrensesnitt (CVE-2019-3706)
Dell Technologies iDRAC9-versjoner før 3.24.24.24, 3.21.26.22, 3.22.22.22 og 3.21.25.22 inneholder et sikkerhetsproblem med omgåelse av godkjenning. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til iDRAC-nettgrensesnittet.
CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Sikkerhetsproblem ved omgåelse av WS-MAN-godkjenning (CVE-2019-3707)
Dell Technologies iDRAC9-versjoner som er eldre enn 3.30.30.30, inneholder et sikkerhetsproblem med omgåelse av godkjenning. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til WS-MAN-grensesnittet.
CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Følgende iDRAC-fastvareversjoner fra Dell Technologies inneholder løsninger på disse sikkerhetsproblemene:
|
iDRAC |
iDRAC-fastvareversjon |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2,92. |
Dell Technologies anbefaler at alle kunder oppgraderer så snart som mulig.
Dells anbefalte fremgangsmåter for iDRAC:
I tillegg til å holde iDRAC-fastvaren oppdatert, anbefaler Dell også følgende:
- iDRAC-er er ikke designet eller ment å plasseres på eller kobles til Internett. De er ment å være på et eget administrasjonsnettverk. Plassering eller tilkobling av iDRAC-er direkte til Internett kan utsette det tilkoblede systemet for sikkerhet og andre risikoer som Dell ikke er ansvarlig for.
- I tillegg til bare å koble iDRAC-er til et separat delnett for administrasjon, bør brukerne isolere delnettet for administrasjon / vLAN-nettverket med teknologier som for eksempel brannmurer, og begrense tilgangen til delnettet/VLAN-nettverket til autorisert serveradministratorer.
- Dell Technologies anbefaler at kundene vurderer eventuelle implementeringsfaktorer som kan være relevante for miljøet deres, for å vurdere den totale risikoen.
Kobling til løsninger:
Kunder kan laste ned iDRAC-fastvare for PowerEdge-servere. For alle andre plattformer velger du plattformen fra Dells nettsted for kundestøtte.
Dell Technologies anbefaler at alle brukere avgjør anvendeligheten av denne informasjonen i sine individuelle situasjoner og iverksetter nødvendige tiltak. Informasjonen som er angitt i dette dokumentet, leveres som den er uten garantier av noe slag. Dell fraskriver seg alle garantier, både uttrykte og underforståtte, inkludert garantier om salgbarhet, egnethet for et bestemt formål, rett og krenkelse av tredjeparts rettigheter. Ikke under noen omstendigheter skal Dell EMC eller dets leverandører holdes ansvarlig for skader eller tap, inkludert direkte, indirekte eller tilfeldige skader, følgeskader, tap av inntekter eller spesielle skader, selv om Dell EMC eller deres leverandører er underrettet om muligheten for slike skader. Noen land tillater ikke at ansvar for følgeskader eller tilfeldige skader utelukkes eller begrenses, noe som betyr at ovennevnte begrensning ikke gjelder.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.