DSA-2019-028: Dell Technologies iDRAC flera sårbarheter
Summary: Dell Technologies iDRAC har uppdaterats för att åtgärda flera sårbarheter som potentiellt kan utnyttjas för att kompromettera berörda system.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA-ID: DSA-2019-028
CVE-identifierare: Allvarlighetsgrad: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
: Hög
allvarlighetsgrad: Se avsnittet Details nedan för enskilda CVSS-poäng för varje CVE.
Berörda produkter:
- Dell Technologies iDRAC6-versioner tidigare än 2.92 (CVE-2019-3705)
- Dell Technologies iDRAC7/iDRAC8-versioner tidigare än 2.61.60.60 (CVE-2019-3705)
- Dell Technologies iDRAC9-versioner tidigare än 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 och CVE-2019-3707)
Cause
Mer information:
- Buffertöverspillssäkerhetsproblem (CVE-2019-3705)
Dell Technologies iDRAC6-versioner före 2.92, iDRAC7/iDRAC8-versioner före 2.61.60.60 och iDRAC9-versioner före 3.20.21.20, 3.21.24.22, 3.21.26.22 och 3.23.23.23 innehåller en stackbaserad sårbarhet för buffertspill. Icke-autentiserade fjärrangripare kan utnyttja det här säkerhetsproblemet till att köra kod på datorn med webbserverbehörigheterna genom att skicka särskilt utformade indata till den.
CVSSv3-baspoäng: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Säkerhetsproblem med åsidosättande av webbgränssnittsautentisering (CVE-2019-3706)
Dell Technologies iDRAC9-versioner före 3.24.24.24, 3.21.26.22, 3.22.22.22 och 3.21.25.22 innehåller ett problem med att kringgå autentisering. Fjärrangripare kan utnyttja det här säkerhetsproblemet till att åsidosätta autentiseringen och få åtkomst till datorn genom att skicka särskilt utformade data till iDRAC-webbgränssnittet.
CVSSv3-baspoäng: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Säkerhetsproblem med åsidosättande av WS-MAN-autentisering (CVE-2019-3707)
Dell Technologies iDRAC9-versioner före 3.30.30.30 innehåller en säkerhetsrisk för att kringgå autentisering. Fjärrangripare kan utnyttja det här säkerhetsproblemet till att åsidosätta autentiseringen och få åtkomst till datorn genom att skicka särskilt utformade indata till WS-MAN-gränssnittet.
CVSSv3-baspoäng: 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Följande versioner av den fasta programvaran för Dell Technologies iDRAC innehåller lösningar på dessa säkerhetsproblem:
|
iDRAC |
Version av fast programvara för iDRAC |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2,92 |
Dell Technologies rekommenderar alla kunder att uppgradera så snart som möjligt.
Dells bästa praxis för iDRAC:
Utöver att hålla den fasta iDRAC-programvaran uppdaterad rekommenderar Dell även följande:
- iDRAC:er är inte utformade eller avsedda att placeras på eller anslutas till internet. De är avsedda att ingå i ett separat hanteringsnätverk. Om du placerar eller ansluter iDRAC-enheter direkt till internet kan det anslutna systemet utsättas för säkerhetsrisker och andra risker som Dell inte ansvarar för.
- Utöver att placera iDRAC-plattformar i ett separat hanteringsdelnät ska användare isolera hanteringsdelnätet/vLAN med hjälp av tekniska lösningar, till exempel brandväggar, och begränsa åtkomst till delnätet/vLAN till godkända serveradministratörer.
- Dell Technologies rekommenderar att kunder överväger eventuella driftsättningsfaktorer som kan vara relevanta för deras miljö för att bedöma den totala risken.
Länk till åtgärder:
Kunder kan ladda ner fast iDRAC-programvara för PowerEdge-servrar. För alla andra plattformar väljer du plattformen på Dells supportwebbplats.
Dell Technologies rekommenderar att alla användare avgör om denna information är tillämplig på deras individuella situation och vidtar lämpliga åtgärder. Informationen häri tillhandahålls ”i befintligt skick” utan garanti av något slag. Dell frånsäger sig alla garantier, vare sig uttryckliga eller underförstådda, inklusive garantier om säljbarhet, lämplighet för ett visst ändamål, äganderätt och icke-intrång. Under inga omständigheter ska Dell eller dess leverantörer hållas ansvariga för några som helst skador, inklusive direkta och indirekta skador, följdskador, affärsförluster och särskilda skador, även om Dell eller dess leverantörer har informerats om risken för sådana skador. Eftersom vissa länder inte tillåter undantag eller begränsning av ansvar för indirekta skador eller följdskador kanske ovannämnda begränsning inte gäller.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.