DSA ID: DSA-2019-028
CVE-id: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Alvorsgrad: Høj
Klassifikation af alvorsgrad: Se afsnittet Detaljer nedenfor for at få individuelle CVSS-scorer for hver CVE
Berørte produkter:
- Dell EMC iDRAC6-versioner før 2.92 (CVE-2019-3705)
- Dell EMC iDRAC7/iDRAC8-versioner før 2.61.60.60 (CVE-2019-3705)
- Dell EMC iDRAC9-versioner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 og CVE-2019-3707)
Overblik:
Dell EMC iDRAC er blevet opdateret for at håndtere flere sikkerhedsrisici, der potentielt kan udnyttes til at kompromittere de berørte systemer.
Detaljer:
- Sikkerhedsrisiko ved bufferoverløb (CVE-2019-3705)
Dell EMC iDRAC6-versioner før 2.92, iDRAC7/iDRAC8-versioner før 2.61.60.60 og iDRAC9-versioner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 indeholder en sikkerhedsrisiko for stakbaseret bufferoverløb. En uautoriseret hacker kan potentielt udnytte denne sikkerhedsrisiko til at lukke webserveren ned eller køre en vilkårlig kode på systemet med webserverens rettigheder ved at sende særligt udformede inputdata til det berørte system.
CVSSv3-basisscore 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Sikkerhedsrisiko ved omgåelse af godkendelse af webgrænseflader (CVE-2019-3706)
Dell EMC iDRAC9-versioner før 3.24.24.24, 3.21.26.22, 3.22.22.22 and 3.21.25.22 indeholder en sikkerhedsrisiko for omgåelse af godkendelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede data til iDRAC-webgrænsefladen.
CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Sikkerhedsrisiko for omgåelse af godkendelse i WS-MAN (CVE-2019-3707)
Dell EMC iDRAC9-versioner før 3.30.30.30 indeholder en sikkerhedsrisiko for omgåelse af godkendelse. En hacker kan potentielt udnytte denne sikkerhedsrisiko for at omgå godkendelse og få adgang til systemet ved at sende særligt udformede inputdata til WS-MAN-webgrænsefladen.
CVSSv3-basisscore 8.6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Løsning:
Følgende Dell EMC iDRAC-firmwareudgivelser indeholder løsninger på disse sikkerhedsrisici:
iDRAC |
iDRAC-firmwareversion |
iDRAC9 |
3.20.21,20 |
3.21.24,22 |
3.21.26,22 |
3.23.23,23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60,60 |
iDRAC7 |
2.61.60,60 |
iDRAC6 |
2.92 |
Dell EMC anbefaler alle kunder at opgradere hurtigst muligt.
Bedste praksis fra Dell vedrørende iDRAC:
Ud over vedligeholdelse af opdateret iDRAC-firmware anbefaler Dell også følgende:
- iDRAC er ikke designet eller beregnet til at blive placeret på eller forbundet til internettet. Det er beregnet til brug i et separat administrationsnetværk. Direkte placering af iDRAC på eller tilslutning af iDRAC til internettet kan udsætte det tilsluttede system for sikkerhedsrisici og andre risici, som Dell ikke kan gøres ansvarlig for.
- Ud over at placere iDRAC på et separat administrationsundernet skal brugere isolere administrationsundernettet/VLAN med teknologier som f. eks. firewalls og begrænse adgangen til undernettet/VLAN til autoriserede serveradministratorer.
- Dell anbefaler, at kunderne tager højde for eventuelle implementeringsfaktorer, der kan være relevante for deres miljø, og vurdere deres samlede risiko.
Link til afhjælpende foranstaltninger:
Kunderne kan downloade iDRAC-firmware til
PowerEdge-servere. For alle andre platforme skal de vælge platformen fra
Dells supportwebsted.
Dell anbefaler, at alle brugere bestemmer anvendeligheden af disse oplysninger med henblik på deres individuelle situationer og træffer de nødvendige foranstaltninger. Oplysningerne heri videresendes "som de er og forefindes" uden nogen form for garanti. Dell fraskriver sig enhver garanti, udtrykkelig eller underforstået, herunder garantier for salgbarhed, egnethed til et bestemt formål, adkomst og ikke-krænkelse. Under ingen omstændigheder kan Dell eller dets leverandører gøres erstatningsansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige og specielle skader samt følgeskader og tab af indtjening, selvom Dell eller dets leverandører er blevet underrettet om muligheden for sådanne skader. Visse lande tillader ikke fraskrivelse eller begrænsning af erstatningsansvar for følgeskader eller hændelige skader, så ovenstående begrænsning gælder muligvis ikke.