DSA-2019-028: Várias vulnerabilidades do iDRAC da Dell Technologies
Summary: O iDRAC da Dell Technologies foi atualizado para lidar com várias vulnerabilidades que podem ser exploradas para comprometer os sistemas afetados.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
ID de DSA: Identificador CVE DSA-2019-028
: CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707
Gravidade: Classificação de gravidade alta
: Consulte a seção Detalhes abaixo das pontuações individuais do CVSS para cada CVE.
Produtos afetados:
- Versões do Dell Technologies iDRAC6 anteriores à 2.92 (CVE-2019-3705)
- Versões do Dell Technologies iDRAC7/iDRAC8 anteriores à 2.61.60.60 (CVE-2019-3705)
- Versões do Dell Technologies iDRAC9 anteriores a 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 e CVE-2019-3707) da Dell Technologies
Cause
Detalhes:
- Vulnerabilidade de estouro de buffer (CVE-2019-3705)
As versões do iDRAC6 da Dell Technologies anteriores à 2.92, versões do iDRAC7/iDRAC8 anteriores à 2.61.60.60 e versões do iDRAC9 anteriores à 3.20.21.20, 3.21.24.22, 3.21.26.22 e 3.23.23.23 contêm uma vulnerabilidade de estouro de buffer baseada em pilha. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para travar o servidor ou executar códigos arbitrários no sistema com privilégios de cliente FTP enviando dados de entrada especialmente criados para o sistema afetado.
Pontuação de base do CVSSv3: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Vulnerabilidade de bypass da autenticação de interface da Web (CVE-2019-3706)
As versões do Dell Technologies iDRAC9 anteriores à 3.24.24.24, 3.21.26.22, 3.22.22.22 e 3.21.25.22 contêm uma vulnerabilidade de desvio de autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface Web do iDRAC.
Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Vulnerabilidade de bypass de autenticação WS-MAN (CVE-2019-3707)
As versões do Dell Technologies iDRAC9 anteriores à 3.30.30.30 contêm uma vulnerabilidade de desvio de autenticação. Um invasor remoto pode explorar essa vulnerabilidade para ignorar a autenticação e obter acesso ao sistema enviando dados especialmente criados para a interface WS-MAN.
Pontuação de base do CVSSv3: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
As seguintes versões de firmware do iDRAC da Dell Technologies contêm resoluções para essas vulnerabilidades:
|
iDRAC |
Versão de firmware do iDRAC |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
A Dell Technologies recomenda que todos os clientes façam upgrade o mais rápido possível.
Práticas recomendadas da Dell em relação ao iDRAC:
além de manter o firmware do iDRAC atualizado, a Dell também recomenda o seguinte:
- Os iDRACs não foram projetados nem se destinam a ser colocados na Internet ou conectados a ela; eles devem estar em uma rede de gerenciamento separada. Colocar ou conectar os iDRACs diretamente à Internet pode expor o sistema conectado a riscos de segurança e outros riscos pelos quais a Dell não é responsável.
- Além de colocar os iDRACs em uma sub-rede de gerenciamento separada, os usuários devem isolar a vLAN/sub-rede de gerenciamento com o auxílio de tecnologias, tais como firewalls, e limitar o acesso à vLAN/sub-rede para os administradores de servidor autorizados.
- A Dell Technologies recomenda que os clientes considerem quaisquer fatores de implementação que possam ser relevantes para seu ambiente para avaliar o risco geral.
Link para soluções:
os clientes podem fazer download do firmware do iDRAC para servidores PowerEdge. Para todas as outras plataformas, selecione-a no site de suporte da Dell.
A Dell Technologies recomenda que todos os usuários determinem a aplicabilidade dessas informações a suas situações individuais e tomem as medidas apropriadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comercialização, adequação a uma finalidade específica, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.