Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Vícenásobné chyby zabezpečení řadiče Dell EMC iDRAC (CVE-2018-15774 a CVE-2018-15776)

Summary: Pokyny společnosti Dell EMC pro snížení rizik a řešení vícenásobných zranitelností řadiče iDRAC. Pokud máte zájem o konkrétní informace o dotčených verzích řadiče iDRAC a dalším postupu při aplikaci aktualizaci, podívejte se do tohoto průvodce. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Identifikátor CVE: CVE-2018-15774, CVE-2018-15776

Závažnost: Středně

dotčené produkty:
  • Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2018-15774 a CVE-2018-15776)
  • Řadič Dell EMC iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 (CVE-2018-15774)
Shrnutí
Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.
 
Podrobnosti
  • Zranitelnost elevace oprávnění (CVE-2018-15774)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 a řadič iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahuje zranitelnost elevace oprávnění. Ověřený uživatel řadiče iDRAC se zlými úmysly a oprávněními operátora by mohl potenciálně zneužít chyby při kontrole oprávnění v rozhraní Redfish k získání administrátorského přístupu.
 
 
  • Zranitelnost nesprávného zacházení s chybami (CVE-2018-15776)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 obsahuje zranitelnost nesprávného zacházení s chybami. Neověřený útočník s fyzickým přístupem k systému může potenciálně zneužít této zranitelnosti pro přístup k příkazovému řádku u-boot shell.
 
SLN315190_en_US__1icon Poznámka: Ostatní modely řadiče iDRAC nejsou dotčeny výše uvedenými chybami zabezpečení.

Řešení:   
Následující verze firmwaru řadiče Dell EMC iDRAC obsahují řešení těchto zranitelností:

 
iDRAC Verze firmwaru řadiče iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Poznámka: K datu publikace je k dispozici.

Společnost Dell EMC doporučuje všem uživatelům provést upgrade co nejdříve. 

Osvědčené postupy společnosti Dell EMC týkající se řadiče iDRAC:

Společnost Dell EMC kromě udržování aktuálního firmwaru řadiče iDRAC doporučuje následující opatření:

  • Řadiče iDRAC nejsou určeny k umisťování nebo připojování k internetu, jsou určeny k používání v oddělené síti pro správu. V důsledku přímého umístění nebo připojení řadiče iDRAC k internetu může dojít k vystavení připojeného systému bezpečnostním nebo jiným rizikům, za které společnost Dell EMC neodpovídá.  
  • Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
  • Společnost Dell EMC doporučuje zákazníkům vzít při vyhodnocování celkového rizika v úvahu veškeré faktory nasazení, které mohou být v jejich prostředí relevantní.

Odkaz na opravné prostředky:

Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge a pro všechny ostatní platformy – na stránce podpory společnosti Dell si vyberte platformu.


Poděkování:

CVE-2018-15776: Společnost Dell EMC by ráda poděkovala Eriku Jonesovi a Adamu Nielsenovi za to, že nám tento problém nahlásili.

Společnost Dell EMC doporučuje všem uživatelům rozhodnout o využití těchto informací v konkrétní situaci a podniknout odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell EMC se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell EMC ani její dodavatelé neponesou v žádném případě odpovědnost za jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell EMC nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top