Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Dell EMC iDRAC'ta Birden Fazla Güvenlik Açığı

Summary: Dell EMC iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncelleştirilmiştir.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA Kimliği: DSA-2019-028

CVE Tanımlayıcısı: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Önem derecesi: Yüksek

Önem Seviyesi: Her bir CVE'nin CVSS Puanını ayrı ayrı görmek için aşağıdaki Ayrıntılar bölümüne bakın
                         
Etkilenen ürünler:
 
  • 2.92 öncesi Dell EMC iDRAC6 sürümleri (CVE-2019-3705)
  • 2.61.60.60 öncesi Dell EMC iDRAC7/iDRAC8 sürümleri (CVE-2019-3705)
  • 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 öncesi Dell EMC iDRAC9 sürümleri (CVE-2019-3705, CVE-2019-3706 ve CVE-2019-3707)

Özet:  
Dell EMC iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncelleştirilmiştir.

Ayrıntılar:  
  • Arabellek Taşması Güvenlik Açığı (CVE-2019-3705)
     
2.92 öncesi Dell EMC iDRAC6 sürümleri, 2.61.60.60 öncesi iDRAC7/iDRAC8 sürümleri ile 3.20.21.20, 3.21.24.22, 3.21.26.22 ve 3.23.23.23 öncesi iDRAC9 sürümlerinde yığın tabanlı bir arabellek taşması güvenlik açığı mevcuttur. Uzaktaki doğrulanmamış saldırganlar, etkilenen sisteme özel olarak tasarlanmış girdi verileri göndererek ağ sunucusunun çökmesine sebep olmak ya da ağ sunucusunun ayrıcalıklarıyla sistemde isteğe bağlı kod yürütmek için bu güvenlik açığından yararlanabilir.

CVSSv3 Taban Puanı 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Web Arabirimi Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3706)
 
3.24.24.24, 3.21.26.22, 3.22.22.22 ve 3.21.25.22 öncesi Dell EMC iDRAC9 sürümlerinde bir kimlik doğrulamasını atlama güvenlik açığı mevcuttur. Uzaktaki saldırganlar, iDRAC ağ arabirimine özel olarak tasarlanmış veriler gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.

CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • WS-MAN Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3707)
 
3.30.30.30 öncesi Dell EMC iDRAC9 sürümlerinde bir kimlik doğrulamasını atlama güvenlik açığı mevcuttur. Uzaktaki saldırganlar, WS-MAN arabirimine özel olarak tasarlanmış girdi verileri gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.
 
CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Çözüm:      
Aşağıdaki Dell EMC iDRAC bellenim sürümleri, bu güvenlik açıklarına yönelik çözümler içerir:
 

iDRAC

iDRAC bellenim sürümü

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC, tüm müşterilerin ilk fırsatta yükseltme yapmasını önerir.  

iDRAC ile ilgili Dell En İyi Uygulamaları:

Dell, güncel iDRAC bellenimine sahip olmaya ek olarak aşağıdakileri yapmanızı da önerir:
  • iDRAC'lar İnternet'e yerleştirilmek veya bağlanmak üzere tasarlanmamıştır; ayrı bir yönetim ağında olmak üzere tasarlanmıştır.  iDRAC'ları doğrudan İnternet'e yerleştirmek ya da bağlamak, bağlı sistemi Dell'in sorumlu olmadığı güvenlik risklerine ve diğer risklere maruz bırakabilir.   
  • iDRAC'ları ayrı bir yönetim alt ağına yerleştirmenin yanı sıra kullanıcılar yönetim alt ağını/vLAN'ı güvenlik duvarları gibi teknolojilerle korumalı ve alt ağ/vLAN erişimini yetkili sunucu yöneticileriyle sınırlandırmalıdır.
  • Dell, müşterilerin genel riskleri değerlendirmek için ortamlarıyla ilgili olabilecek tüm dağıtım faktörlerini hesaba katmalarını önerir.

Çözümler için bağlantı:

Müşteriler, PowerEdge sunucular için iDRAC bellenimini indirebilir. Diğer tüm platformlar için lütfen Dell Support sitesinden platform seçin.


Dell, tüm kullanıcıların bu bilgilerin bireysel durumlarına uygulanabilirliğini belirlemelerini ve uygun önlemleri almalarını önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell, satılabilirlik garantileri, belirli bir amaca uygunluk, unvan ve ihlal etmeme dahil olmak üzere, sarih ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top