DSA-2019-028: Flere sårbarheder i Dell Technologies iDRAC
Summary: Dell Technologies iDRAC er blevet opdateret for at løse flere sikkerhedsrisici, som potentielt kan udnyttes til at kompromittere de berørte systemer.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA ID: CVE-id for DSA-2019-028
: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Alvorlighed: Høj
prioritetsvurdering: Se afsnittet Detaljer nedenfor om individuelle CVSS-scorer for hver CVE.
Berørte produkter:
- Dell Technologies iDRAC6-versioner før 2.92 (CVE-2019-3705)
- Dell Technologies iDRAC7/iDRAC8-versioner før 2.61.60.60 (CVE-2019-3705)
- Dell Technologies iDRAC9-versioner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 og CVE-2019-3707)
Cause
Detaljer:
- Sikkerhedsrisiko ved bufferoverløb (CVE-2019-3705)
Dell Technologies iDRAC6-versioner før 2.92, iDRAC7/iDRAC8-versioner før 2.61.60.60 og iDRAC9-versioner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 indeholder en stakbaseret bufferoverløbssårbarhed. En uautoriseret hacker kan potentielt udnytte denne sikkerhedsrisiko til at lukke webserveren ned eller køre en vilkårlig kode på systemet med webserverens rettigheder ved at sende særligt udformede inputdata til det berørte system.
CVSSv3-basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Sikkerhedsrisiko ved omgåelse af godkendelse af webgrænseflader (CVE-2019-3706)
Dell Technologies iDRAC9-versioner før 3.24.24.24, 3.21.26.22, 3.22.22.22 og 3.21.25.22 indeholder en sikkerhedsrisiko i forbindelse med godkendelsesomgåelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede data til iDRAC-webgrænsefladen.
CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Sikkerhedsrisiko for omgåelse af godkendelse i WS-MAN (CVE-2019-3707)
Dell Technologies iDRAC9-versioner før 3.30.30.30 indeholder en sikkerhedsrisiko i forbindelse med omgåelse af godkendelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede inputdata til WS-MAN-webgrænsefladen.
CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
Følgende Dell Technologies iDRAC-firmwareudgivelser indeholder løsninger på disse sårbarheder:
|
iDRAC |
iDRAC-firmwareversion |
|
iDRAC9 |
3.20.21,20 |
|
3.21.24,22 |
|
|
3.21.26,22 |
|
|
3.23.23,23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30,30 |
|
iDRAC8 |
2.61.60,60 |
|
iDRAC7 |
2.61.60,60 |
|
iDRAC6 |
2.92 |
Dell Technologies anbefaler, at alle kunder opgraderer hurtigst muligt.
Dells bedste fremgangsmåder vedrørende iDRAC:
Ud over at vedligeholde opdateret iDRAC-firmware anbefaler Dell også følgende:
- iDRAC er ikke designet eller beregnet til at blive placeret på eller forbundet til internettet. De er beregnet til at være på et separat ledelsesnetværk. Placering eller tilslutning af iDRAC er direkte til internettet kan udsætte det tilsluttede system for sikkerhedsrisici eller andre risici, som Dell ikke er ansvarlig for.
- Ud over at placere iDRAC på et separat administrationsundernet skal brugere isolere administrationsundernettet/VLAN med teknologier som f. eks. firewalls og begrænse adgangen til undernettet/VLAN til autoriserede serveradministratorer.
- Dell Technologies anbefaler, at kunderne overvejer eventuelle implementeringsfaktorer, der kan være relevante for deres miljø, når de vurderer deres samlede risiko.
Link til afhjælpninger:
Kunder kan downloade iDRAC-firmware til PowerEdge-servere. For alle andre platforme skal du vælge platformen på Dells supportwebsted.
Dell Technologies anbefaler, at alle brugere vurderer anvendeligheden af disse oplysninger i deres individuelle situation og træffer passende foranstaltninger. Oplysningerne heri videresendes "som de er og forefindes" uden nogen form for garanti. Dell frasiger sig alle garantier, både udtrykkelige og stiltiende, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse. Under ingen omstændigheder kan Dell eller dets leverandører gøres erstatningsansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige og specielle skader samt følgeskader og tab af indtjening, selvom Dell eller dets leverandører er blevet underrettet om muligheden for sådanne skader. Visse lande tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, så ovenstående begrænsning gælder muligvis ikke.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.