Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Várias vulnerabilidades do Dell EMC iDRAC

Summary: O Dell EMC iDRAC foi atualizado para lidar com várias vulnerabilidades que poderiam ser potencialmente exploradas para comprometer os sistemas afetados.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

Identificador CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Gravidade: alta

Classificação de gravidade: consulte a seção Detalhes, abaixo das pontuações de CVSS individuais para cada CVE
                         
Produtos afetados:
 
  • Versões Dell EMC iDRAC6 anteriores à 2.92 (CVE-2019-3705)
  • Versões Dell EMC iDRAC7/iDRAC8 anteriores à 2.61.60.60 (CVE-2019-3705)
  • Versões Dell EMC iDRAC9 anteriores às 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707)

Resumo:  
O Dell EMC iDRAC foi atualizado para lidar com várias vulnerabilidades que poderiam ser potencialmente exploradas para comprometer os sistemas afetados.

Detalhes:  
  • Vulnerabilidade de estouro de buffer (CVE-2019-3705)
     
Versões Dell EMC iDRAC6 anteriores à 2.92, iDRAC7/iDRAC8 versões anteriores à 2.61.60.60, e as versões do iDRAC9 anteriores às 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contêm uma vulnerabilidade de estouro de buffer com base em pilha. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para travar o servidor ou executar códigos arbitrários no sistema com privilégios de cliente FTP enviando dados de entrada especialmente criados para o sistema afetado.

Pontuação de base do CVSSv3: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Vulnerabilidade de bypass da autenticação de interface da Web (CVE-2019-3706)
 
Versões Dell EMC iDRAC9 anteriores à 3.24.24.24, 3.21.26.22, 3.22.22.22 e 3.21.25.22 contêm uma vulnerabilidade de bypass de autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface Web do iDRAC.

Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Vulnerabilidade de bypass de autenticação WS-MAN (CVE-2019-3707)
 
Versões Dell EMC iDRAC9 anteriores à 3.30.30.30 contêm uma vulnerabilidade de bypass da autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface WS-MAN.
 
Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolução:      
Estas versões de firmware do Dell EMC iDRAC contêm resoluções para essas vulnerabilidades:
 

iDRAC

Versão de firmware do iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


A Dell EMC recomenda que todos os clientes façam a atualização o mais rápido possível.  

Melhores práticas da Dell com relação ao iDRAC:

Além de manter o firmware do iDRAC atualizado, a Dell também recomenda o seguinte:
  • Os iDRACs não são projetados nem destinados para serem colocados na Internet ou conectados a ela; eles devem ficar em uma rede de gerenciamento separada.  Colocar ou conectar diretamente iDRACs à Internet pode expor o sistema conectado a riscos de segurança e a outros riscos pelos quais a Dell não se responsabiliza.   
  • Além de colocar os iDRACs em uma sub-rede de gerenciamento separada, os usuários devem isolar a vLAN/sub-rede de gerenciamento com o auxílio de tecnologias, tais como firewalls, e limitar o acesso à vLAN/sub-rede para os administradores de servidor autorizados.
  • A Dell recomenda que os clientes levem em conta os fatores de implementação relevantes a seus ambientes para avaliar o risco geral.

Link para as correções:

Os clientes podem fazer o download do firmware iDRAC para servidores PowerEdge. Para todas as outras plataformas, selecione a plataforma no site de suporte da Dell.


A Dell recomenda que todos os usuários determinem a aplicabilidade das informações às suas situações individuais e tomem as medidas adequadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top