DSA-2019-028: Dell Technologies iDRAC Çoklu Güvenlik Açıkları
Summary: Dell Technologies iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılabilecek birden fazla güvenlik açığını gidermek üzere güncellendi.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA Kimliği: DSA-2019-028
CVE Identifier: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Severity: Yüksek
Önem Derecesi: Her CVE için ayrı CVSS Puanlarının aşağıdaki Ayrıntılar bölümüne bakın.
Etkilenen ürünler:
- 2.92 öncesi Dell Technologies iDRAC6 sürümleri (CVE-2019-3705)
- 2.61.60.60 öncesi Dell Technologies iDRAC7/iDRAC8 sürümleri (CVE-2019-3705)
- 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 ve CVE-2019-3707) sürümlerinden önceki Dell Technologies iDRAC9 sürümleri
Cause
Ayrıntılar:
- Arabellek Taşması Güvenlik Açığı (CVE-2019-3705)
Dell Technologies iDRAC6 sürümleri 2.92'den önceki iDRAC6 sürümleri, 2.61.60.60'dan önceki iDRAC7/iDRAC8 sürümleri ve 3.20.21.20, 3.21.24.22, 3.21.26.22 ve 3.23.23.23 önceki iDRAC9 sürümleri, yığın tabanlı arabellek taşması güvenlik açığı içerir. Uzaktaki doğrulanmamış saldırganlar, etkilenen sisteme özel olarak tasarlanmış girdi verileri göndererek ağ sunucusunun çökmesine sebep olmak ya da ağ sunucusunun ayrıcalıklarıyla sistemde isteğe bağlı kod yürütmek için bu güvenlik açığından yararlanabilir.
CVSSv3 Taban Puanı 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Web Arabirimi Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3706)
3.24.24.24, 3.21.26.22, 3.22.22.22 ve 3.21.25.22'den önceki Dell Technologies iDRAC9 sürümleri kimlik doğrulama atlama güvenlik açığı içerir. Uzaktaki saldırganlar, iDRAC ağ arabirimine özel olarak tasarlanmış veriler gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.
CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- WS-MAN Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3707)
3.30.30.30'dan önceki Dell Technologies iDRAC9 sürümleri bir kimlik doğrulama atlama güvenlik açığı içerir. Uzaktaki saldırganlar, WS-MAN arabirimine özel olarak tasarlanmış girdi verileri gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.
CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Aşağıdaki Dell Technologies iDRAC bellenim sürümleri bu güvenlik açıklarının çözümlerini içerir:
|
iDRAC |
iDRAC bellenim sürümü |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies, tüm müşterilerin ilk fırsatta yükseltme yapmalarını önerir.
iDRAC ile ilgili Dell En İyi Uygulamaları:
Dell, iDRAC bellenimini güncel tutmanın yanı sıra aşağıdakileri de önerir:
- iDRAC'lar İnternet'e yerleştirilmek veya İnternet'e bağlanmak üzere tasarlanmamıştır ve bu amaçla tasarlanmamıştır; Ayrı bir yönetim ağında olmaları amaçlanmıştır. IDRAC'ların doğrudan İnternete yerleştirilmesi veya bağlanması, bağlı sistemi güvenlik risklerine ve Dell'in sorumlu olmadığı diğer risklere maruz bırakabilir.
- iDRAC'ları ayrı bir yönetim alt ağına yerleştirmenin yanı sıra kullanıcılar yönetim alt ağını/vLAN'ı güvenlik duvarları gibi teknolojilerle korumalı ve alt ağ/vLAN erişimini yetkili sunucu yöneticileriyle sınırlandırmalıdır.
- Dell Technologies, müşterilerin genel risklerini değerlendirmek için ortamlarıyla ilgili olabilecek tüm dağıtım faktörlerini göz önünde bulundurmalarını önerir.
Çözüm bağlantısı:
Müşteriler, PowerEdge sunucuları için iDRAC bellenimini indirebilir. Diğer tüm platformlar için Dell destek sitesinden ilgili platformu seçin.
Dell Technologies, tüm kullanıcıların bu bilgilerin kendi bireysel durumlarına uygulanabilirliğini belirlemesini ve uygun eylemi gerçekleştirmesini önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell, pazarlanabilirlik, belirli bir amaca uygunluk, mülkiyet hakkı ve hak ihlali bulunmaması garantileri de dahil olmak üzere, açık ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.