DSA ID:DSA-2019-028
CVE ID:CVE-2019-3705、CVE-2019-3706、CVE-2019-3707
重要度:高
重要度評価:各CVEの個別のCVSSスコアの下の詳細セクションを参照してください。
対象製品:
- Dell EMC iDRAC6の2.92より前のバージョン(CVE-2019-3705)
- Dell EMC iDRAC7/iDRAC8の2.61.60.60より前のバージョン(CVE-2019-3705)
- Dell EMC iDRAC9の3.30.30.30、3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23、3.24.24.24、3.22.22.22、3.21.25.22より前のバージョン(CVE-2019-3705、CVE-2019-3706、およびCVE-2019-3707)
概要:
対象システムを侵害する目的で悪用される可能性のある複数の脆弱性に対処するため、Dell EMC iDRACがアップデートされました。
詳細:
- バッファー オーバーフロー脆弱性(CVE-2019-3705)
2.92より前のバージョンのDell EMC iDRAC6、2.61.60.60より前のバージョンのiDRAC7/iDRAC8、3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23より前のバージョンのiDRAC9には、スタックベースのバッファー オーバーフロー脆弱性が含まれています。認証されていないリモートの攻撃者はこの脆弱性を悪用して、影響を受けるシステムに特別に作成された入力データを送信し、Webサーバーをクラッシュさせること、またはFWebサーバーの権限を持つシステム上で任意のコードを実行する場合があります。
CVSSv3基本スコア8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Webインターフェイス認証のバイパスの脆弱性(CVE-2019-3706)
3.24.24.24、3.21.26.22、3.22.22.22、3.21.25.22より前のバージョンのDell EMC iDRAC9には、認証のバイパスの脆弱性が含まれています。リモートの攻撃者はこの脆弱性を悪用して、特別に作成された入力データをiDRAC Webインターフェイスに送信し、認証をバイパスして、システムに対するアクセスを得る場合があります。
CVSSv3基本スコア8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- WS-MAN認証のバイパスの脆弱性(CVE-2019-3707)
3.30.30.30より前のバージョンのDell EMC iDRAC9には、認証のバイパスの脆弱性が含まれています。リモートの攻撃者はこの脆弱性を悪用して、特別に作成された入力データをWS-MANインターフェイスに送信し、認証をバイパスして、システムに対するアクセスを得る場合があります。
CVSSv3基本スコア8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
解決方法:
次のDell EMC iDRACファームウェア リリースに、これらの脆弱性に対する解決策が含まれています。
iDRAC |
iDRACのファームウェア バージョン |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
Dell EMCではすべてのお客様に対して、可能な限り早急にアップグレードすることを推奨しています。
iDRACに関するDellのベスト プラクティス:
iDRACのファームウェアを最新にすることに加えて、次の推奨事項にも注意してください。
- iDRACは、インターネットから利用したり接続するようには設計されておらず、またそのように意図されてもいません。独立した管理ネットワークで使用するように意図されています。 iDRACをインターネットから利用するか、直接インターネットに接続した場合、接続したシステムがセキュリティの問題を始めとするリスクにさらされる可能性があり、デルはこのことに関して責任を負いません。
- 独立した管理サブネットでiDRACを使用するのと同時に、ファイアウォールなどのテクノロジーを使用して管理サブネット/vLANを分離し、また管理サブネット/vLANへのアクセスは権限のあるサーバー管理者に限定するようにしてください。
- お客様は環境に関連する導入要因を考慮して全体的なリスクを評価することを、デルはお勧めします。
修正プログラムへのリンク:
お客様は、
PowerEdgeサーバー向けのiDRACファームウェアをダウンロードすることができます。他のすべてのプラットフォームについては、
Dellサポート サイトからプラットフォームを選択してください。
デルは、すべてのユーザーが個々の状況に対してこの情報が当てはまるかどうかを判断し、適切な措置を講じることを推奨しています。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。デルは、市販性、特定目的への適合性、権原、および非侵害の保証を含む、明示的か黙示的かを問わず、すべての保証を放棄します。デルとそのサプライヤーは、当該損害の可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。