DSA-2019-028: Vícenásobné chyby zabezpečení řadiče iDRAC společnosti Dell Technologies

Summary: Aktualizace řadiče iDRAC společnosti Dell Technologies řeší různé chyby zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

ID DSA: DSA-2019-028

Identifikátor CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Závažnost: Vysoké

hodnocení závažnosti: Níže naleznete část Podrobnosti o jednotlivých skóre CVSS pro jednotlivé CVE.
                         
Dotčené produkty:
 

  • Dell Technologies iDRAC6, verze před 2.92 (CVE-2019-3705)
  • Verze Dell Technologies iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2019-3705)
  • Verze řadiče Dell Technologies iDRAC9 před verzemi 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 a CVE-2019-3707)

Cause

Podrobnosti:  

  • Zranitelnost zahlcení vyrovnávací paměti (CVE-2019-3705)
     
Verze řadiče iDRAC6 společnosti Dell Technologies před verzí 2.92, iDRAC7/iDRAC8 před verzí 2.61.60.60 a iDRAC9 před verzemi 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahují chybu zabezpečení spočívající v přetečení vyrovnávací paměti na základě zásobníku. Neověřený vzdálený útočník by mohl tuto zranitelnost zneužít k selhání webového serveru nebo ke spuštění libovolného kódu v systému s oprávněními webového serveru odesláním speciálně vytvořených vstupních dat do dotčeného systému.

Základní skóre CVSSv3: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Zranitelnost obcházení ověřování webového rozhraní (CVE-2019-3706)
 
Verze řadiče Dell Technologies iDRAC9 před verzemi 3.24.24.24, 3.21.26.22, 3.22.22.22 a 3.21.25.22 obsahují chybu zabezpečení zajišťující obejití ověření. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených dat do webového rozhraní řadiče iDRAC.

Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Zranitelnost obcházení ověřování WS-MAN (CVE-2019-3707)
 
Verze řadiče Dell Technologies iDRAC9 před 3.30.30.30 obsahují chybu zabezpečení týkající se obejití ověření. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených vstupních dat do rozhraní WS-MAN.
 
Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolution

Následující vydání firmwaru řadiče iDRAC společnosti Dell Technologies obsahují řešení těchto chyb zabezpečení:
 

iDRAC

Verze firmwaru řadiče iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92



Společnost Dell Technologies doporučuje všem zákazníkům provést upgrade při nejbližší příležitosti.  

Nejlepší postupy společnosti Dell týkající se řadiče iDRAC:

Kromě udržování aktuálního firmwaru řadiče iDRAC společnost Dell také doporučuje následující:

  • Řadiče iDRAC nejsou navrženy ani určeny k umístění na internet nebo připojení k internetu. Mají být v samostatné síti pro správu. Umístění nebo připojení řadičů iDRAC přímo k internetu může vystavit připojený systém bezpečnostním a dalším rizikům, za která společnost Dell nenese odpovědnost.   
  • Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
  • Společnost Dell Technologies doporučuje, aby zákazníci zvážili všechny faktory nasazení, které mohou být relevantní pro jejich prostředí, a mohli tak posoudit své celkové riziko.


Odkaz na nápravná opatření:

Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge. U všech ostatních platforem vyberte platformu z webu podpory společnosti Dell.


Společnost Dell Technologies doporučuje všem uživatelům, aby zvážili použitelnost těchto informací ve své individuální situaci a podnikli příslušné kroky. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, výslovných nebo předpokládaných, včetně záruk obchodovatelnosti, vhodnosti pro určitý účel, nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.

Affected Products

iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80 , iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01 ...
Article Properties
Article Number: 000176947
Article Type: Solution
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.