ID DSA: DSA-2019-028
Идентификаторы CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Серьезность: Высокая
Степень серьезности: см. раздел «Подробности» под отдельными оценками CVSS для каждой CVE
Затронутые продукты:
- Версии Dell EMC iDRAC6 до 2.92 (CVE-2019-3705)
- Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2019-3705)
- Версии Dell EMC iDRAC9 до 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707)
Резюме:
Контроллер Dell EMC iDRAC был обновлен для устранения ряда уязвимостей, которые могли быть использованы для компрометации уязвимых систем.
Описание:
- Уязвимость переполнения буфера (CVE-2019-3705)
Версии Dell EMC iDRAC6 до 2.92, iDRAC7/iDRAC8 до 2.61.60.60 и iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23.23 имеют уязвимость переполнения стекового буфера. Не прошедший аутентификацию удаленный злоумышленник потенциально может использовать эту уязвимость, чтобы вызвать сбой сервера или для выполнения произвольного кода в системе с правами сервера, отправив особым образом созданные входные данные в уязвимую систему.
Базовая оценка CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Уязвимость, связанная с обходом проверки подлинности веб-интерфейса (CVE-2019-3706)
Версии Dell EMC iDRAC9 до 3.24.24.24, 3.21.26.22, 3.22.22.22 и 3.21.25.22 имеют уязвимость, связанную с обходом проверки подлинности. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные данные в веб-интерфейс iDRAC.
Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Уязвимость, связанная с обходом проверки подлинности WS-MAN (CVE-2019-3707)
Версии Dell EMC iDRAC9 до 3.30.30.30 имеют уязвимость, связанную с обходом проверки подлинности. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные входные данные в интерфейс WS-MAN.
Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Способ устранения
В следующих версиях микропрограммы Dell EMC iDRAC эти уязвимости устранены:
iDRAC |
Версия микропрограммы iDRAC |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2,92. |
Dell EMC рекомендует всем клиентам выполнить обновление при первой возможности.
Оптимальные процедуры, рекомендуемые Dell в отношении iDRAC.
Помимо поддержания в актуальном состоянии микропрограммы iDRAC, компания Dell также рекомендует следующее:
- Контроллеры iDRAC не предназначены для размещения в сети Интернет или подключения к ней; они предназначены для использования в отдельной сети управления. Установка или подключение контроллеров iDRAC непосредственно к Интернету может подвергнуть подключенную систему рискам безопасности и прочим рискам, за которые компания Dell не несет ответственность.
- Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
- Dell рекомендует заказчикам учесть все факторы развертывания, относящиеся к их среде, чтобы оценить риск в целом.
Ссылка на средство устранения
Заказчики могут загрузить микропрограмму iDRAC для
серверов PowerEdge. Для всех остальных нужно выбрать платформу на
сайте поддержки Dell .
Dell рекомендует всем пользователям оценить релевантность данной информации к их ситуации и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell отказывается от всех явных и подразумеваемых гарантий, в том числе от гарантий товарной пригодности, пригодности для конкретной цели и ненарушения прав. Ни при каких обстоятельствах компания Dell или ее поставщики не несут ответственности за какие-либо убытки, включая прямые, непрямые, случайные, косвенные убытки, потери предпринимательской прибыли или особые убытки, даже если компания Dell или ее поставщики были предупреждены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.