Řadič iDRAC: Chyby zabezpečení CVE: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Zabezpečení virtuální konzole pomocí protokolu TLS 1.2

Summary: Tento článek vám pomůže zformulovat akční plán pro zmírnění níže uvedených chyb CVE, když zákazník nahlásí výstrahy kvůli chybám zabezpečení řadiče iDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Pokud náš zákazník nahlásí chyby zabezpečení CVE na řadiči iDRAC, přičemž výsledek kontroly ukazuje na číslo CVE, přidružený port a popis, jak je uvedeno níže ve zprávě o kontrole – chcete-li tyto chyby CVE zmírnit, proveďte níže uvedené kroky, změňte požadovaná nastavení řadiče IDRAC a navrhněte zákazníkovi, aby kontrolu spustil znovu.
 

CVE Port Název Popis
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server URL Handling Overflow DoS. Vzdálený webový server může přestat reagovat kvůli příliš dlouhému požadavku: GET /servlet/AAAA... AAAA.
Je známo, že tento útok ovlivňuje servery GroupWise.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS. Webový server bylo možné zabít vysláním požadavku, který končí dvěma LF znaky místo normální sekvence CR, LF, CR, LF (CR = carriage return, LF = line feed).
Útočník může tuto chybu zabezpečení zneužít k tomu, aby se tento server a všechny aplikace LabView zhroutily.
CVE-1999-0517 161 Výchozí název komunity agenta SNMP (veřejný) Je možné získat výchozí název komunity vzdáleného SNMP serveru.
Útočník může tyto informace použít k získání dalších informací o vzdáleném hostiteli nebo ke změně konfigurace vzdáleného systému (pokud výchozí komunita takové úpravy umožňuje).
  5900 Protokol TLS verze 1.1 je zastaralý Vzdálená služba přijímá šifrovaná připojení pomocí protokolu TLS 1.1. Protokol TLS 1.1 postrádá podporu pro aktuální a doporučené šifrovací sady. Šifry, které podporují šifrování před výpočtem MAC, a ověřené režimy šifrování, jako je GCM, nelze použít s protokolem TLS 1.1. Od 31. března 2020 koncové body, které nemají povolený protokol TLS 1.2 a vyšší, už nebudou správně fungovat s hlavními webovými prohlížeči a hlavními dodavateli.


Můžete se připojit přes SSH k IP adrese řadiče IDRAC nebo použít nástroje iDRAC pro vzdálené příkazy RACADM a postupujte podle následujících kroků.
Omezte webový server na protokol TLS 1.2.

Zkontrolujte aktuální nastavení webového serveru řadiče iDRAC:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Nastavení webového serveru řadiče iDRAC na TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Pomocí příkazu get potvrďte nastavení protokolu TLS webového serveru řadiče iDRAC:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Prostřednictvím grafického uživatelského rozhraní řadiče iDRAC – viz níže uvedený snímek obrazovky.

Uživatelské rozhraní řadiče iDRAC se zvýrazněním síťového oddílu s protokolem TLS

Ověřte položku "SNMP Community Name" agenta SNMP a změňte výchozí název komunity SNMP z "Public" a zadejte jiný název nebo vyberte možnost SNMPv3 Protocol.
Následující úryvek je převzat z reportu TSR – Hardware – část Atributy.
Report TSR – Hardware – Sekce Atributy

Viz také část Grafické uživatelské rozhraní řadiče iDRAC – Nastavení řadiče iDRAC – Síť – Služby.
Uživatelské rozhraní řadiče iDRAC – síť – část služeb

Příkaz příkazového řádku RACADM k ověření nastavení agenta SNMP – protokolu SNMP:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Zde jsou platné hodnoty
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Příkaz pro změnu hodnoty objektu:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

Příkaz RACADM k ověření agenta SNMP – název komunity SNMP:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Příkaz k nastavení názvu komunity SNMP:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


Příručka
k rozhraní příkazového řádku RACADM řadiče IDRAC8Příručka CLI pro integrovaný řadič Dell Remote Access Controller 9 RACADM | Dell, USA

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.