Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: несколько уязвимостей Dell EMC iDRAC

Summary: Контроллер Dell EMC iDRAC был обновлен для устранения ряда уязвимостей, которые могли быть использованы для компрометации уязвимых систем.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

ID DSA: DSA-2019-028

Идентификаторы CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Серьезность: Высокая

Степень серьезности: см. раздел «Подробности» под отдельными оценками CVSS для каждой CVE
                         
Затронутые продукты:
 
  • Версии Dell EMC iDRAC6 до 2.92 (CVE-2019-3705)
  • Версии Dell EMC iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2019-3705)
  • Версии Dell EMC iDRAC9 до 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707)

Резюме:  
Контроллер Dell EMC iDRAC был обновлен для устранения ряда уязвимостей, которые могли быть использованы для компрометации уязвимых систем.

Описание:  
  • Уязвимость переполнения буфера (CVE-2019-3705)
     
Версии Dell EMC iDRAC6 до 2.92, iDRAC7/iDRAC8 до 2.61.60.60 и iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23.23 имеют уязвимость переполнения стекового буфера. Не прошедший аутентификацию удаленный злоумышленник потенциально может использовать эту уязвимость, чтобы вызвать сбой сервера или для выполнения произвольного кода в системе с правами сервера, отправив особым образом созданные входные данные в уязвимую систему.

Базовая оценка CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Уязвимость, связанная с обходом проверки подлинности веб-интерфейса (CVE-2019-3706)
 
Версии Dell EMC iDRAC9 до 3.24.24.24, 3.21.26.22, 3.22.22.22 и 3.21.25.22 имеют уязвимость, связанную с обходом проверки подлинности. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные данные в веб-интерфейс iDRAC.

Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Уязвимость, связанная с обходом проверки подлинности WS-MAN (CVE-2019-3707)
 
Версии Dell EMC iDRAC9 до 3.30.30.30 имеют уязвимость, связанную с обходом проверки подлинности. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные входные данные в интерфейс WS-MAN.
 
Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Способ устранения      
В следующих версиях микропрограммы Dell EMC iDRAC эти уязвимости устранены:
 

iDRAC

Версия микропрограммы iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2,92.


Dell EMC рекомендует всем клиентам выполнить обновление при первой возможности.  

Оптимальные процедуры, рекомендуемые Dell в отношении iDRAC.

Помимо поддержания в актуальном состоянии микропрограммы iDRAC, компания Dell также рекомендует следующее:
  • Контроллеры iDRAC не предназначены для размещения в сети Интернет или подключения к ней; они предназначены для использования в отдельной сети управления.  Установка или подключение контроллеров iDRAC непосредственно к Интернету может подвергнуть подключенную систему рискам безопасности и прочим рискам, за которые компания Dell не несет ответственность.   
  • Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
  • Dell рекомендует заказчикам учесть все факторы развертывания, относящиеся к их среде, чтобы оценить риск в целом.

Ссылка на средство устранения

Заказчики могут загрузить микропрограмму iDRAC для серверов PowerEdge. Для всех остальных нужно выбрать платформу на сайте поддержки Dell .


Dell рекомендует всем пользователям оценить релевантность данной информации к их ситуации и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell отказывается от всех явных и подразумеваемых гарантий, в том числе от гарантий товарной пригодности, пригодности для конкретной цели и ненарушения прав. Ни при каких обстоятельствах компания Dell или ее поставщики не несут ответственности за какие-либо убытки, включая прямые, непрямые, случайные, косвенные убытки, потери предпринимательской прибыли или особые убытки, даже если компания Dell или ее поставщики были предупреждены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top