DSA-2019-028: Dell Technologies iDRAC 여러 취약성
Summary: Dell Technologies iDRAC은 영향을 받는 시스템을 손상시키는 데 악용될 수 있는 여러 취약성을 해결하기 위해 업데이트되었습니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA ID: DSA-2019-028
CVE 식별자: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
심각도: 높은
심각도 등급: 각 CVE에 대한 개별 CVSS 점수는 아래의 세부 정보 섹션을 참조하십시오.
영향을 받는 제품:
- Dell Technologies iDRAC6 2.92 이전 버전(CVE-2019-3705)
- 2.61.60.60 이전의 Dell Technologies iDRAC7/iDRAC8 버전(CVE-2019-3705)
- 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 이전의 Dell Technologies iDRAC9 버전(CVE-2019-3705, CVE-2019-3706, CVE-2019-3707)
Cause
상세 정보:
- 버퍼 오버플로 취약성(CVE-2019-3705)
Dell Technologies iDRAC6 2.92 이전 버전, iDRAC7/iDRAC8 2.61.60.60 이전 버전 및 iDRAC9 버전 3.20.21.20, 3.21.24.22, 3.21.26.22 및 3.23.23.23 이전 버전에는 스택 기반 버퍼 오버플로우 취약성이 포함되어 있습니다. 인증되지 않은 원격 공격자가 이 취약성을 악용하여 웹 서버를 충돌시키거나 특별히 제작된 입력 데이터를 영향을 받는 시스템에 전송하여 웹 서버의 권한으로 시스템에서 임의의 코드를 실행할 수 있습니다.
CVSSv3 기본 점수 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- 웹 인터페이스 인증 우회 취약성(CVE-2019-3706)
3.24.24.24, 3.21.26.22, 3.22.22.22 및 3.21.25.22 이전의 Dell Technologies iDRAC9 버전에는 인증 우회 취약성이 포함되어 있습니다. 원격 공격자가 이 취약성을 악용하여 iDRAC 웹 인터페이스에 특별히 제작된 데이터를 전송하여 인증을 우회하고 시스템에 대한 액세스를 얻을 수 있습니다.
CVSSv3 기본 점수 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- WS-MAN 인증 우회 취약성(CVE-2019-3707)
3.30.30.30 이전 버전의 Dell Technologies iDRAC9에는 인증 우회 취약성이 포함되어 있습니다. 원격 공격자가 이 취약성을 악용하여 인증을 우회하고 특수하게 조작된 입력 데이터를 WS-MAN 인터페이스로 전송하여 시스템에 대한 액세스를 얻을 수 있습니다.
CVSSv3 기본 점수 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
다음 Dell Technologies iDRAC 펌웨어 릴리스에는 이러한 취약성에 대한 해결 방법이 포함되어 있습니다.
|
iDRAC |
iDRAC 펌웨어 버전 |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies는 모든 고객이 가능한 한 빨리 업그레이드할 것을 권장합니다.
iDRAC에 관한 Dell 모범 사례:
Dell은 최신 iDRAC 펌웨어를 유지하는 것 외에도 다음을 권장합니다.
- iDRAC는 인터넷에 배치하거나 연결하도록 설계되지 않았습니다. 이들은 별도의 관리 네트워크에 있어야 합니다. iDRAC를 인터넷에 직접 배치하거나 연결하면 연결된 시스템이 Dell이 책임지지 않는 보안 및 기타 위험에 노출될 수 있습니다.
- 별도의 관리 서브넷에 iDRAC를 배치하는 것과 함께, 사용자는 방화벽과 같은 기술을 사용하여 관리 서브넷/vLAN을 격리하고 서브넷/vLAN에 대한 액세스를 자격이 있는 서버 관리자로 제한해야 합니다.
- Dell Technologies는 고객이 전체 위험을 평가하기 위해 환경과 관련이 있을 수 있는 배포 요소를 고려할 것을 권장합니다.
해결 방법 링크:
고객은 PowerEdge 서버용 iDRAC 펌웨어를 다운로드할 수 있습니다. 다른 모든 플랫폼의 경우 Dell 지원 사이트에서 플랫폼을 선택합니다.
Dell Technologies는 모든 사용자가 이 정보를 각자의 상황에 적용할 수 있는지 판단하고 적절한 조치를 취할 것을 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell은 상품성, 특정 목적에의 적합성, 소유권 및 비침해에 대한 보증을 포함하여 명시적이든 묵시적이든 모든 보증을 부인합니다. 어떠한 경우에도 Dell 또는 관련 제공업체는 직접적, 간접적, 우연적, 결과적, 업무 손실, 특정 손상을 비롯하여 어떠한 피해에 대해서도 책임을 지지 않습니다. 이는 Dell 또는 관련 제공업체가 그런 피해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.