DSA-2019-028: Многочисленные уязвимости Dell Technologies iDRAC

Summary: Контроллер Dell Technologies iDRAC был обновлен с учетом нескольких уязвимостей, которые могут быть использованы для взлома затронутых систем.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Идентификатор DSA: DSA-2019-028

,идентификатор CVE: Уровень серьезности CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707

: Высокий

уровень серьезности: Ниже см. раздел «Подробности» с информацией об отдельных оценках CVSS для каждой CVE.
                         
Затронутые продукты:
 

  • Dell Technologies iDRAC6 версии до 2.92 (CVE-2019-3705)
  • Версии Dell Technologies iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2019-3705)
  • Версии Dell Technologies iDRAC9 до 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707)

Cause

Описание:  

  • Уязвимость переполнения буфера (CVE-2019-3705)
     
Версии Dell Technologies iDRAC6 до 2.92, iDRAC7/iDRAC8 до 2.61.60.60 и iDRAC9 до 3.20.21.20, 3.21.24.22, 3.21.26.22 и 3.23.23 содержат уязвимость, связанную с переполнением буфера на основе стека. Не прошедший аутентификацию удаленный злоумышленник потенциально может использовать эту уязвимость, чтобы вызвать сбой сервера или для выполнения произвольного кода в системе с правами сервера, отправив особым образом созданные входные данные в уязвимую систему.

Базовая оценка CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Уязвимость, связанная с обходом проверки подлинности веб-интерфейса (CVE-2019-3706)
 
Версии Dell Technologies iDRAC9 до 3.24.24.24, 3.21.26.22, 3.22.22.22 и 3.21.25.22 содержат уязвимость для обхода аутентификации. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные данные в веб-интерфейс iDRAC.

Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Уязвимость, связанная с обходом проверки подлинности WS-MAN (CVE-2019-3707)
 
Версии Dell Technologies iDRAC9 до 3.30.30.30 содержат уязвимость для обхода аутентификации. Удаленный злоумышленник потенциально может использовать эту уязвимость для обхода аутентификации и получения доступа к системе, отправив особым образом созданные входные данные в интерфейс WS-MAN.
 
Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolution

Следующие выпуски микропрограммы Dell Technologies iDRAC содержат решения для этих уязвимостей.
 

iDRAC

Версия микропрограммы iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2,92.



Dell Technologies рекомендует всем заказчикам выполнить обновление при первой же возможности.  

Передовые подходы Dell в отношении iDRAC.

Помимо поддержания актуальности микропрограммы iDRAC, Dell также рекомендует следующее:

  • Контроллеры iDRAC не предназначены для размещения в Интернете или подключения к нему. Они должны находиться в отдельной сети управления. Размещение или подключение контроллеров iDRAC напрямую к Интернету может подвергнуть подключенную систему рискам безопасности и другим рискам, за которые Dell не несет ответственности.   
  • Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
  • Dell Technologies рекомендует заказчикам учитывать все факторы развертывания, которые могут быть актуальны для их среды, для оценки общих рисков.


Ссылка на средство правовой защиты:

заказчики могут скачать микропрограмму iDRAC для серверов PowerEdge. Для всех остальных платформ выберите платформу на сайте поддержки Dell.


Dell Technologies рекомендует всем пользователям оценить применимость этой информации к их конкретным ситуациям и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности, пригодности для определенной цели, права собственности и ненарушения прав интеллектуальной собственности. Ни при каких обстоятельствах компания Dell или ее поставщики не несут ответственности за какие-либо убытки, включая прямые, непрямые, случайные, косвенные убытки, потери предпринимательской прибыли или особые убытки, даже если компания Dell или ее поставщики были предупреждены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.

Affected Products

iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80 , iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01 ...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.