DSA-2019-028: Dell Technologies iDRAC Meerdere kwetsbaarheden
Summary: Dell Technologies iDRAC is bijgewerkt om meerdere kwetsbaarheden op te lossen die mogelijk kunnen worden misbruikt om de getroffen systemen in gevaar te brengen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
DSA ID: DSA-2019-028
CVE-identifier: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Ernst: Hoge
prioriteit: Zie het gedeelte Details hieronder van individuele CVSS-scores voor elke CVE.
Betreffende producten:
- Dell Technologies iDRAC6 versies ouder dan 2.92 (CVE-2019-3705)
- Dell Technologies iDRAC7/iDRAC8 versies ouder dan 2.61.60.60 (CVE-2019-3705)
- Dell Technologies iDRAC9 versies vóór 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 en CVE-2019-3707)
Cause
Details:
- Beveiligingslek door bufferoverschrijding (CVE-2019-3705)
Dell Technologies iDRAC6 versies ouder dan 2.92, iDRAC7/iDRAC8 versies voorafgaand aan 2.61.60.60 en iDRAC9 versies ouder dan 3.20.21.20, 3.21.24.22, 3.21.26.22 en 3.23.23.23 bevatten een beveiligingslek met betrekking tot stackgebaseerde bufferoverloop. Een externe aanvaller kan misbruik maken van dit beveiligingslek door willekeurige code in het systeem uit te voeren met de rechten van de webserver door speciaal gemaakte invoerdata naar het getroffen systeem te sturen.
CVSSv3 basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Beveiligingslek met betrekking tot het omzeilen van webinterface-authenticatie (CVE-2019-3706)
Dell Technologies iDRAC9-versies ouder dan 3.24.24.24, 3.21.26.22, 3.22.22.22 en 3.21.25.22 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal ontworpen data te verzenden naar de iDRAC webinterface.
CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Beveiligingslek met betrekking tot het omzeilen van WS-MAN-authenticatie (CVE-2019-3707)
Dell Technologies iDRAC9-versies ouder dan 3.30.30.30 bevatten een beveiligingslek met betrekking tot het omzeilen van authenticatie. Een externe aanvaller kan dit beveiligingslek misbruiken om authenticatie te omzeilen en toegang te krijgen tot het systeem door speciaal vervaardigde invoerdata te verzenden naar de WS-MAN interface.
CVSSv3 basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Resolution
De volgende iDRAC-firmwarereleases van Dell Technologies bevatten oplossingen voor deze beveiligingslekken:
|
iDRAC |
iDRAC-firmwareversie |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies raadt alle klanten aan om zo snel mogelijk te upgraden.
Best practices van Dell met betrekking tot iDRAC:
Naast het up-to-date houden van de iDRAC-firmware adviseert Dell ook het volgende:
- iDRAC's zijn niet ontworpen en niet bedoeld om op internet te worden geplaatst of ermee te worden verbonden; Ze zijn bedoeld om op een apart beheernetwerk te staan. Door iDRACs rechtstreeks op internet te plaatsen of te verbinden, kan het aangesloten systeem worden blootgesteld aan beveiligingsrisico's en andere risico's waarvoor Dell niet verantwoordelijk is.
- Gebruikers moeten iDRAC's op een afzonderlijk beheer-subnet plaatsen en dit beheer-subnet/vLAN isoleren met technologieën zoals firewalls en toegang tot het subnet/vLAN beperken voor geautoriseerde beheerders.
- Dell Technologies raadt klanten aan om alle implementatiefactoren die relevant kunnen zijn voor hun omgeving in overweging te nemen om hun algehele risico te beoordelen.
Koppeling naar oplossingen:
Klanten kunnen iDRAC-firmware downloaden voor PowerEdge servers. Voor alle andere platforms selecteert u het platform op de Dell Support website.
Dell Technologies raadt alle gebruikers aan om de toepasbaarheid van deze informatie op hun individuele situatie te bepalen en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell wijst alle garanties, zowel expliciet als impliciet, af met inbegrip van de garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, eigendom en niet-inbreukmakendheid. Dell of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.
Affected Products
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.