DSA-2019-028: Różne luki w zabezpieczeniach kontrolera iDRAC firmy Dell Technologies

Identyfikator DSA: DSA-2019-028

— identyfikator CVE: Istotność CVE-2019-3705, CVE-2019-3706 i CVE-2019-3707

: Wysoka

ocena ważności: Poszczególne wyniki CVSS dla każdego CVE można znaleźć w sekcji Szczegóły poniżej.
                         
Dotyczy produktów:
 

• Wersje kontrolera iDRAC6 firmy Dell Technologies starsze niż 2.92 (CVE-2019-3705)
• Wersje kontrolera iDRAC7/iDRAC8 firmy Dell Technologies starsze niż 2.61.60.60 (CVE-2019-3705)
• Wersje kontrolera iDRAC9 firmy Dell Technologies starsze niż 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 i CVE-2019-3707)

Szczegóły:  

• Luka w zabezpieczeniach spowodowana przepełnieniem bufora (CVE-2019-3705)
   

• Luka w zabezpieczeniach związana z pominięciem uwierzytelniania interfejsu sieciowego (CVE-2019-3706)

• Luka w zabezpieczeniach związana z pominięciem uwierzytelniania WS-MAN (CVE-2019-3707)

Następujące wersje oprogramowania wewnętrznego kontrolera iDRAC firmy Dell Technologies zawierają rozwiązania usuwające te luki:
 

Firma Dell Technologies zaleca wszystkim klientom jak najszybszą modernizację.  

Najlepsze praktyki firmy Dell dotyczące kontrolera iDRAC:

oprócz aktualizowania aktualnego oprogramowania wewnętrznego kontrolera iDRAC firma Dell radzi również, co następuje:

• Kontrolery iDRAC nie są zaprojektowane ani przeznaczone do umieszczania w Internecie ani podłączania go do Internetu; Mają one znajdować się w oddzielnej sieci zarządzania. Umieszczenie lub podłączenie kontrolerów iDRAC bezpośrednio do Internetu może narazić podłączony system na zagrożenia bezpieczeństwa i inne zagrożenia, za które firma Dell nie ponosi odpowiedzialności.   
• Wraz z umieszczeniem kontrolerów iDRAC w oddzielnej podsieci zarządzania użytkownicy powinni odizolować podsieć zarządzania/vLAN za pomocą technologii takich jak zapory sieciowe oraz ograniczyć dostęp do podsieci/vLAN do uprawnionych administratorów serwerów.
• Firma Dell Technologies zaleca, aby klienci wzięli pod uwagę wszelkie czynniki wdrożeniowe, które mogą być istotne dla ich środowiska, aby ocenić ogólne ryzyko.

Łącze do środków zaradczych:

klienci mogą pobrać oprogramowanie wewnętrzne kontrolera iDRAC dla serwerów PowerEdge. W przypadku wszystkich pozostałych platform wybierz platformę z witryny pomocy technicznej firmy Dell.


Firma Dell Technologies zaleca, aby wszyscy użytkownicy określili, czy te informacje mają zastosowanie do ich indywidualnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell zrzeka się wszelkich gwarancji, wyraźnych ani dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, tytułu i nienaruszania praw stron trzecich. W żadnym przypadku firma Dell ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.