РДА-2019-028: Множинні вразливості Dell Technologies iDRAC
Summary: Dell Technologies iDRAC було оновлено для усунення численних вразливостей, які потенційно можуть бути використані для компрометації уражених систем.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ідентифікатор РДА: Ідентифікатор CVE DSA-2019-028
: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Рівень критичності: Високий
рейтинг серйозності: Дивіться розділ «Подробиці» нижче про окремі бали CVSS для кожного CVE.
Продукти, на які вплинули:
- Версія iDRAC6 від Dell Technologies до 2.92 (CVE-2019-3705)
- Версії iDRAC7/iDRAC8 від Dell Technologies до 2.61.60.60 (CVE-2019-3705)
- Версії Dell Technologies iDRAC9 до 3.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 і CVE-2019-3707)
Cause
Деталі
- Уразливість щодо переповнення буфера (CVE-2019-3705)
Версії Dell Technologies iDRAC6 до 2.92, iDRAC7/iDRAC8 до 2.61.60.60 та iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 та 3.23.23.23 містять вразливість до переповнення буфера на основі стека. Неавтентифікований віддалений зловмисник потенційно може скористатися цією вразливістю для збою веб-сервера або виконання довільного коду в системі з привілеями веб-сервера, надсилаючи спеціально створені вхідні дані до ураженої системи.
Базова оцінка CVSSv3 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Уразливість обходу автентифікації веб-інтерфейсу (CVE-2019-3706)
Версії Dell Technologies iDRAC9 до 3.24.24.24, 3.21.26.22, 3.22.22.22 і 3.21.25.22 містять вразливість до обходу аутентифікації. Віддалений зловмисник потенційно може скористатися цією вразливістю для обходу аутентифікації та отримання доступу до системи шляхом надсилання спеціально створених даних до веб-інтерфейсу iDRAC.
Базова оцінка CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Уразливість обходу автентифікації WS-MAN (CVE-2019-3707)
Версії Dell Technologies iDRAC9 до 3.30.30.30 містять вразливість до обходу аутентифікації. Віддалений зловмисник потенційно може скористатися цією вразливістю для обходу аутентифікації та отримання доступу до системи шляхом надсилання спеціально виготовлених вхідних даних до інтерфейсу WS-MAN.
Базова оцінка CVSSv3 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Наступні релізи прошивки Dell Technologies iDRAC містять усунення цих вразливостей:
|
iDRAC |
Версія прошивки iDRAC |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies рекомендує всім клієнтам оновлюватися за першої можливості.
Найкращі практики Dell щодо iDRAC:
На додаток до підтримки оновленої прошивки iDRAC, Dell також радить наступне:
- iDRAC не розроблені та не призначені для розміщення в Інтернеті або підключення до нього; Вони призначені для знаходження в окремій мережі управління. Розміщення або підключення iDRAC безпосередньо до Інтернету може наразити підключену систему на безпеку та інші ризики, за які Dell не несе відповідальності.
- Поряд із розташуванням iDRAC в окремій підмережі керування, користувачі повинні ізолювати підмережу керування/vLAN за допомогою таких технологій, як брандмауери, і обмежити доступ до підмережі/vLAN для авторизованих адміністраторів сервера.
- Dell Technologies рекомендує клієнтам враховувати будь-які фактори розгортання, які можуть мати відношення до їхнього середовища, щоб оцінити загальний ризик.
Посилання на засоби захисту:
Клієнти можуть завантажити прошивку iDRAC для серверів PowerEdge. Для всіх інших платформ виберіть платформу на сайті підтримки Dell.
Dell Technologies рекомендує всім користувачам визначити застосовність цієї інформації до своїх індивідуальних ситуацій і вжити відповідних заходів. Інформація, викладена в цьому документі, надається «як є» без будь-яких гарантій. Dell відмовляється від усіх гарантій, явних або непрямих, включаючи гарантії комерційної придатності, придатності для певної мети, права власності та відсутності порушень. За жодних обставин Dell або її постачальники не несуть відповідальності за будь-які збитки, включаючи прямі, непрямі, випадкові, наслідкові, втрату комерційного прибутку або спеціальні збитки, навіть якщо Dell або її постачальники були попереджені про можливість таких збитків. Деякі штати не дозволяють виключати або обмежувати відповідальність за непрямі або випадкові збитки, тому вищезазначене обмеження може не застосовуватися.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.