Identyfikator DSA: DSA-2019-028
Identyfikator CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Istotność: poważna
Wskaźnik ważności: patrz sekcja Szczegóły poniżej dla poszczególnych wyników CVSS dla każdego CVE
Produkty, których dotyczy problem:
- Wersje kontrolera iDRAC6 Dell EMC wcześniejsze niż 2.92 (CVE-2019-3705)
- Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 (CVE-2019-3705)
- Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 i CVE-2019-3707)
Streszczenie:
Kontroler iDRAC Dell EMC został zaktualizowany w celu wyeliminowania wielu luk, które mogą być potencjalnie wykorzystane do zaatakowania systemów, których dotyczy problem.
Szczegóły:
- Luka w zabezpieczeniach spowodowana przepełnieniem bufora (CVE-2019-3705)
Wersje kontrolera iDRAC6 Dell EMC wcześniejsze niż 2.92, wersje kontrolera iDRAC7/iDRAC8 wcześniejsze niż 2.61.60.60 oraz wersje kontrolera iDRAC9 wcześniejsze niż 3.20.21.20, 3.21.24.22, 3.21.26.22 i 3.23.23.23 zawierają lukę w zabezpieczeniach spowodowaną przepełnieniem bufora stosu. Nieuwierzytelniona zdalna osoba atakująca może potencjalnie wykorzystać tę lukę w celu wywołania awarii serwera sieci Web lub wykonania dowolnego kodu w systemie z uprawnieniami serwera sieci Web, wysyłając specjalnie spreparowane dane wejściowe do zagrożonego systemu.
CVSSv3, ocena bazowa 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Luka w zabezpieczeniach związana z pominięciem uwierzytelniania interfejsu sieciowego (CVE-2019-3706)
Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.24.24.24, 3.21.26.22, 3.22.22.22 i 3.21.25.22 zawierają lukę w zabezpieczeniach dotyczącą pomijania uwierzytelniania. Zdalna osoba atakująca może wykorzystać tę lukę, aby ominąć uwierzytelnianie i uzyskać dostęp do systemu, wysyłając specjalnie spreparowane dane do interfejsu sieciowego kontrolera iDRAC.
CVSSv3, ocena bazowa 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Luka w zabezpieczeniach związana z pominięciem uwierzytelniania WS-MAN (CVE-2019-3707)
Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.30.30.30 zawierają lukę w zabezpieczeniach dotyczącą pomijania uwierzytelniania. Zdalna osoba atakująca może wykorzystać tę lukę, aby ominąć uwierzytelnianie i uzyskać dostęp do systemu, wysyłając specjalnie spreparowane dane wejściowe do interfejsu sieciowego WS-MAN.
CVSSv3, ocena bazowa 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Rozwiązanie:
Poniższe wersje oprogramowania układowego kontrolera iDRAC Dell EMC zawierają rozwiązania tych luk:
| iDRAC |
Wersja oprogramowania wewnętrznego kontrolera iDRAC |
| iDRAC9 |
3.20.21.20 |
| 3.21.24.22 |
| 3.21.26.22 |
| 3.23.23.23 |
| |
3.24.24.24 |
| |
3.22.22.22 |
| |
3.21.25.22 |
| |
3.30.30.30 |
| iDRAC8 |
2.61.60.60 |
| iDRAC7 |
2.61.60.60 |
| iDRAC6 |
2.92 |
Firma Dell EMC zaleca wszystkim klientom jak najszybszą aktualizację.
Najlepsze praktyki Dell Best związane z kontrolerem iDRAC:
Poza korzystaniem z aktualnego oprogramowania wewnętrznego kontrolera iDRAC firma Dell zaleca również:
- Kontrolery iDRAC nie zostały zaprojektowane ani nie są przeznaczone do działania w Internecie ani nawiązywania z nim połączenia; zostały stworzone z myślą o pracy w oddzielnej sieci zarządzania. Podłączenie kontrolerów iDRAC bezpośrednio do Internetu może narazić podłączony system na zagrożenia związane z bezpieczeństwem i inne zagrożenia, za które firma Dell nie ponosi odpowiedzialności.
- Wraz z umieszczeniem kontrolerów iDRAC w oddzielnej podsieci zarządzania użytkownicy powinni odizolować podsieć zarządzania/vLAN za pomocą technologii takich jak zapory sieciowe oraz ograniczyć dostęp do podsieci/vLAN do uprawnionych administratorów serwerów.
- Firma Dell zaleca, aby przy ocenie ryzyka klienci uwzględnili wszelkie czynniki związane z wdrożeniem w określonym środowisku.
Łącze do rozwiązań:
Klienci mogą pobrać oprogramowanie wewnętrzne kontrolera iDRAC dla
serwerów PowerEdge. W przypadku wszystkich innych platform należy wybrać platformę z
witryny pomocy technicznej Dell.
Firma Dell zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.