Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000176947

DSA-2019-028: Flere sikkerhetsproblemer i Dell EMC iDRAC

Summary: Dell EMC iDRAC har blitt oppdatert for å løse flere sårbarheter som potensielt kunne utnyttes til å bryte sikkerheten på de berørte systemene.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

DSA ID: DSA-2019-028

CVE-identifikator: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Alvorlighetsgrad: Høy

Alvorlighetsgrad: Se avsnittet om detaljer under CVSS-poengsummene for hver CVE
                         
Berørte produkter:
 
  • Dell EMC iDRAC6-versjoner før 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7/iDRAC8-versjoner før 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9-versjoner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706, and CVE-2019-3707)

Sammendrag:  
Dell EMC iDRAC har blitt oppdatert for å løse flere sårbarheter som potensielt kunne utnyttes til å bryte sikkerheten på de berørte systemene.

Detaljer:  
  • Sikkerhetsproblemer ved bufferoverløp (CVE-2019-3705)
     
Dell EMC iDRAC6-versjoner før 2.92, iDRAC7/iDRAC8-versjoner før 2.61.60.60 og iDRAC9-versjoner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 inneholder et sikkerhetsproblem med stakkbasert bufferoverløp. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å krasje nettserveren eller kjøre en vilkårlig kode på systemet med privilegier for nettserveren ved å sende spesiallagde inndata til det berørte systemet.

CVSSv3-grunnpoengsum: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Sikkerhetsproblemet ved omgåelse av godkjenning av nettverksgrensesnitt (CVE-2019-3706)
 
Dell EMC iDRAC9-versjoner før 3.24.24.24, 3.21.26.22, 3.22.22.22 og 3.21.25.22 inneholder et sikkerhetsproblem med omgåelse av godkjenninger. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til iDRAC-nettgrensesnittet.

CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Sikkerhetsproblem ved omgåelse av WS-MAN-godkjenning (CVE-2019-3707)
 
Dell EMC iDRAC9-versjoner før 3.30.30.30 inneholder et sikkerhetsproblem med omgåelse av godkjenninger. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til WS-MAN-grensesnittet.
 
CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Løsning:      
Følgende iDRAC-fastvareutgaver for Dell EMC inneholder løsninger på disse sikkerhetsproblemene:
 

iDRAC

iDRAC-fastvareversjon

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2,92.


Dell EMC anbefaler at alle kunder oppgraderer snarest mulig.  

Anbefalt fremgangsmåte fra Dell vedrørende iDRAC:

I tillegg til å holde iDRAC-fastvaren oppdatert, anbefaler Dell også følgende:
  • iDRAC-er er ikke designet eller ment for å utplasseres på eller kobles til Internett, de er ment å være tilkoblet et separat delnett for administrasjon.  Utplassering eller tilkobling av iDRAC-er direkte til Internett kan utsette det tilkoblede systemet for sikkerhetsbrudd og andre sårbarheter som Dell ikke er ansvarlig for.   
  • I tillegg til bare å koble iDRAC-er til et separat delnett for administrasjon, bør brukerne isolere delnettet for administrasjon / vLAN-nettverket med teknologier som for eksempel brannmurer, og begrense tilgangen til delnettet/VLAN-nettverket til autorisert serveradministratorer.
  • Dell anbefaler at kunder tar hensyn til eventuelle distribusjonsfaktorer som kan være relevante for å vurdere den totale risikoen for miljøet deres.

Kobling til utbedringer:

Kunder kan laste ned iDRAC-fastvare for PowerEdge-servere. For alle andre plattformer må du velge plattformen fra Dell Support-nettstedet.


Dell anbefaler at alle brukere avgjør om denne informasjonen er aktuell for deres situasjon og iverksetter nødvendige tiltak. Informasjonen som er angitt i dette dokumentet, leveres som den er uten garantier av noe slag. Dell EMC fraskriver seg alle garantier, både uttrykte og underforståtte, inkludert garantier om salgbarhet, egnethet for et bestemt formål, eiendomsrett og manglende overholdelse. Ikke under noen omstendigheter skal Dell EMC eller dets leverandører holdes ansvarlig for skader eller tap, inkludert direkte, indirekte eller tilfeldige skader, følgeskader, tap av inntekter eller spesielle skader, selv om Dell EMC eller deres leverandører er underrettet om muligheten for slike skader. Noen land tillater ikke at ansvar for følgeskader eller tilfeldige skader skal utelukkes eller begrenses, noe som betyr at ovennevnte begrensning ikke gjelder.

Article Properties

Affected Product

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60

Last Published Date

20 Nov 2020

Version

2

Article Type

Solution

Back to Top