Dell EMC iDRAC 다중 취약성(CVE-2018-15774 및 CVE-2018-15776)

• 2.61.60.60 이전의 Dell EMC iDRAC7/iDRAC8 버전(CVE-2018-15774 및 CVE-2018-15776)
• 3.20.21.20, 3.21.24.22, 3.21.26.22 및 3.23.23.23 이전의 Dell EMC iDRAC9 버전(CVE-2018-15774)

• 권한 상승 취약성(CVE-2018-15774)

• 부적절한 오류 처리 취약성(CVE-2018-15776)

참고: iDRAC의 다른 모델은 위에 설명된 취약성의 영향을 받지 않습니다.

해결 방법:   
다음 Dell EMC iDRAC 펌웨어 릴리스에 이 취약성에 대한 해결 방법이 포함되어 있습니다.

참고: 발행일 현재 제공됩니다.

Dell EMC는 모든 고객이 최대한 빨리 업그레이드하는 것을 권장합니다. 

iDRAC에 대한 Dell EMC 모범 사례:

Dell EMC는 iDRAC 펌웨어를 최신으로 유지하는 것 외에도 다음과 같은 권장 사항을 권장합니다.

• iDRAC는 별도의 관리 네트워크에 배치하거나 인터넷에 배치 또는 연결하도록 설계 또는 의도되지 않았습니다. iDRAC를 직접 인터넷에 직접 배치하거나 연결하면 Dell EMC가 책임을 지지 않는 보안 및 기타 위험에 시스템이 노출될 수 있습니다.  
• 별도의 관리 서브넷에 iDRAC를 배치하는 것과 함께, 사용자는 방화벽과 같은 기술을 사용하여 관리 서브넷/vLAN을 격리하고 서브넷/vLAN에 대한 액세스를 자격이 있는 서버 관리자로 제한해야 합니다.
• Dell EMC에서는 고객이 사용 중인 환경과 관련된 모든 배포 요인을 고려하여 전반적인 위험을 평가하는 것을 권장합니다.

문제 해결 링크:

고객은 PowerEdge 서버에 대한 iDRAC 펌웨어를 다운로드할 수 있으며, 다른 모든 플랫폼의 경우 Dell 지원 사이트에서 플랫폼을 선택하면 관련 자료를 찾을 수 있습니다.

감사:

CVE-2018-15776: Dell EMC는 이 문제를 보고해 주신 Jon Sands와 Adam Adam Adam에게 감사의 말씀을 전합니다.

Dell EMC는 모든 사용자가 이 정보를 개별 상황에 적용 가능한지 여부를 판단하여 적절히 조치하기를 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell EMC는 상품성, 특정 목적에의 적합성, 권한, 비침해성을 비롯하여 명시적이거나 묵시적인 어떠한 보증도 부인합니다. 어떠한 경우에도 Dell EMC 또는 관련 제공업체는 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실이나 특수 손해을 비롯하여 어떠한 손해에 대해서도 책임을 지지 않습니다. 이는 Dell EMC 또는 관련 제공업체가 이러한 손해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.