DSA ID: DSA-2019-028
Identificador CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Gravidade: alta
Classificação de gravidade: consulte a seção Detalhes, abaixo das pontuações de CVSS individuais para cada CVE
Produtos afetados:
- Versões Dell EMC iDRAC6 anteriores à 2.92 (CVE-2019-3705)
- Versões Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 (CVE-2019-3705)
- Versões Dell EMC iDRAC9 anteriores às 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707)
Resumo:
O Dell EMC iDRAC foi atualizado para lidar com várias vulnerabilidades que poderiam ser potencialmente exploradas para comprometer os sistemas afetados.
Detalhes:
- Vulnerabilidade de estouro de buffer (CVE-2019-3705)
Versões Dell EMC iDRAC6 anteriores à 2.92, iDRAC7/iDRAC8 versões anteriores à 2.61.60.60, e as versões do iDRAC9 anteriores às 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contêm uma vulnerabilidade de estouro de buffer com base em pilha. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para travar o servidor ou executar códigos arbitrários no sistema com privilégios de cliente FTP enviando dados de entrada especialmente criados para o sistema afetado.
Pontuação de base do CVSSv3: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Vulnerabilidade de bypass da autenticação de interface da Web (CVE-2019-3706)
Versões Dell EMC iDRAC9 anteriores à 3.24.24.24, 3.21.26.22, 3.22.22.22 e 3.21.25.22 contêm uma vulnerabilidade de bypass de autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface Web do iDRAC.
Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Vulnerabilidade de bypass de autenticação WS-MAN (CVE-2019-3707)
Versões Dell EMC iDRAC9 anteriores à 3.30.30.30 contêm uma vulnerabilidade de bypass da autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface WS-MAN.
Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolução:
Estas versões de firmware do Dell EMC iDRAC contêm resoluções para essas vulnerabilidades:
iDRAC |
Versão de firmware do iDRAC |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
A Dell EMC recomenda que todos os clientes façam a atualização o mais rápido possível.
Melhores práticas da Dell com relação ao iDRAC:
Além de manter o firmware do iDRAC atualizado, a Dell também recomenda o seguinte:
- Os iDRACs não são projetados nem destinados para serem colocados na Internet ou conectados a ela; eles devem ficar em uma rede de gerenciamento separada. Colocar ou conectar diretamente iDRACs à Internet pode expor o sistema conectado a riscos de segurança e a outros riscos pelos quais a Dell não se responsabiliza.
- Além de colocar os iDRACs em uma sub-rede de gerenciamento separada, os usuários devem isolar a vLAN/sub-rede de gerenciamento com o auxílio de tecnologias, tais como firewalls, e limitar o acesso à vLAN/sub-rede para os administradores de servidor autorizados.
- A Dell recomenda que os clientes levem em conta os fatores de implementação relevantes a seus ambientes para avaliar o risco geral.
Link para as correções:
Os clientes podem fazer o download do firmware iDRAC para
servidores PowerEdge. Para todas as outras plataformas, selecione a plataforma no
site de suporte da Dell.
A Dell recomenda que todos os usuários determinem a aplicabilidade das informações às suas situações individuais e tomem as medidas adequadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.