Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Dell EMC iDRAC Birden Fazla Güvenlik Açığı (CVE-2018-15774 ve CVE-2018-15776)

Summary: Çeşitli iDRAC güvenlik açıkları için riski azaltma ve çözüm yöntemleri sunmak üzere Dell EMC kılavuzu. Etkilenen iDRAC sürümleri ve güncelleştirmeleri uygulamak için sonraki adımlar hakkında ayrıntılı bilgi için bu kılavuza başvurun. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

CVE Tanımlayıcısı: CVE-2018-15774, CVE-2018-15776

Önem Derecesi: Orta

Düzey Etkilenen Ürünler:
  • 2.61.60.60 (CVE-2018-15774 ve CVE-2018-15776) öncesindeki Dell EMC iDRAC7/iDRAC8 sürümleri
  • 3.20.21.20, 3.21.24.22, 3.21.26.22 ve 3.23.23.23 (CVE-2018-15774) öncesindeki Dell EMC iDRAC9 sürümleri
Özet
Dell EMC iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncelleştirilmiştir.
 
Ayrıntılar
  • Erişim Artırma Güvenlik Açığı (CVE-2018-15774)
2.61.60.60 öncesindeki Dell EMC iDRAC7/iDRAC8 sürümleri ve 3.20.21.20, 3.21.24.22, 3.21.26.22 ve 3.23.23.23 öncesindeki iDRAC9 sürümlerinde bir erişim artırma güvenlik açığı bulunmaktadır. Operatör izinlerine sahip yetkili, kötü niyetli bir iDRAC kullanıcısı, Redfish arabirimindeki izin kontrolü kusurunu yönetici erişimi edinmek için kullanabilir.
 
 
  • Uygunsuz Hata İşleme Güvenlik Açığı (CVE-2018-15776)
2.61.60.60 öncesindeki Dell EMC iDRAC7/iDRAC8 sürümlerinde uygunsuz hata işleme güvenlik açığı bulunur. Sisteme fiziksel erişimi olan yetkisiz bir saldırgan u-boot kabuğuna erişim edinmek için bu güvenlik açığını kullanabilir.
 
SLN315190_en_US__1icon Not: Diğer iDRAC modelleri yukarıda açıklanan güvenlik açıklarından etkilenmez.

Çözüm:   
Aşağıdaki Dell EMC iDRAC bellenim sürümleri, bu güvenlik açıklarına yönelik çözümler içerir:

 
iDRAC iDRAC bellenim sürümü

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Not: Yayın tarihine kadar kullanılabilir.

Dell EMC, tüm müşterilerin ilk fırsatta yükseltme yapmasını önerir. 

iDRAC ile ilgili Dell EMC En İyi Uygulamaları:

Güncel iDRAC bellenimine sahip olmaya ek olarak Dell EMC aşağıdakileri yapmanızı da önerir:

  • iDRAC'lar İnternet'e yerleştirilmek veya bağlanmak üzere tasarlanmamıştır; ayrı bir yönetim ağında olmak üzere tasarlanmıştır. iDRAC'ları doğrudan İnternet'e yerleştirmek ya da bağlamak, bağlı sistemi Dell EMC'nin sorumlu olmadığı güvenlik risklerine ve diğer risklere maruz bırakabilir.  
  • iDRAC'ları ayrı bir yönetim alt ağına yerleştirmenin yanı sıra kullanıcılar yönetim alt ağını/vLAN'ı güvenlik duvarları gibi teknolojilerle korumalı ve alt ağ/vLAN erişimini yetkili sunucu yöneticileriyle sınırlandırmalıdır.
  • Dell EMC, müşterilerin genel riskleri değerlendirmek için ortamlarıyla ilgili olabilecek tüm dağıtım faktörlerini hesaba katmalarını önerir.

Çözümler için bağlantı:

Müşteriler PowerEdge sunucuları için iDRAC bellenimini indirebilir. Diğer tüm platformlar için lütfen Dell destek sitesinden platformu seçin.


Teşekkür:

CVE-2018-15776: Dell EMC, bu sorunu bize bildirdiği için John Sands ve Adam Nielsen'a teşekkür eder.

Dell EMC, tüm kullanıcıların bu bilgilerin kendi özel durumlarına uygulanabilirliğini değerlendirmelerini ve uygun eylemi gerçekleştirmelerini önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell EMC, satılabilirlik garantileri, belirli bir amaca uygunluk, unvan ve ihlal etmeme dahil olmak üzere, sarih ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell EMC veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top