IDRAC: CVE-Sicherheitslücken: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Sichern der virtuellen Konsole mit TLS 1.2
Summary: Dieser Artikel hilft Ihnen bei der Formulierung des Aktionsplans zur Minderung der unten aufgeführten CVEs, während der Kunde Warnmeldungen zu Sicherheitslücken auf iDRAC meldet.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Falls ein Kunde CVE-Sicherheitslücken auf dem iDRAC meldet und das Scanergebnis auf die CVE-Nummer, den zugehörigen Port und die Beschreibung wie unten im Scanbericht verweist, führen Sie die folgenden Schritte aus, um diese CVEs zu mindern, und schlagen Sie dem Kunden vor, den Scan erneut auszuführen.
| CVE | Schnittstelle | Name | Beschreibung |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack Umgang mit Java-Server-URL-Überlauf DoS. | Der Remote-Webserver kann durch eine übermäßig lange Anforderung nicht mehr reagieren: GET /servlet/AAAA... AAAA. Es ist bekannt, dass dieser Angriff GroupWise-Server betrifft. |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Get Newline DoS. | Es war möglich, den Webserver zu beenden, indem ein Request gesendet wurde, der mit zwei LF-Zeichen anstelle der normalen Sequenz CR LF CR CR LF (CR = Wagenrücklauf, LF = Zeilenvorschub) endete. Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, um diesen Server und alle LabView-Anwendungen zum Absturz zu bringen. |
| CVE-1999-0517 | 161 | SNMP-Agent – standardmäßiger Community-Name (öffentlich) | Es ist möglich, den standardmäßigen Community-Namen des Remote-SNMP-Servers abzurufen. Ein Angreifer kann diese Informationen verwenden, um mehr Informationen über den Remotehost zu erhalten oder die Konfiguration des Remotesystems zu ändern (wenn die Standardcommunity solche Änderungen zulässt). |
| 5900 | TLS-Protokollversion 1.1 veraltet | Der Remotedienst akzeptiert verschlüsselte Verbindungen mit TLS 1.1. TLS 1.1 bietet keine Unterstützung für aktuelle und empfohlene Cipher Suites. Verschlüsselungen, die Verschlüsselung vor MAC-Berechnung unterstützen, und authentifizierte Verschlüsselungsmodi wie GCM können nicht mit TLS 1.1 verwendet werden. Ab dem 31. März 2020 funktionieren Endpunkte, die nicht für TLS 1.2 und höher aktiviert sind, nicht mehr ordnungsgemäß mit gängigen Webbrowsern und Anbietern. |
Sie können eine SSH-Verbindung zur iDRAC-IP herstellen oder iDRAC-Tools für Remote-RACADM-Befehle verwenden, um die folgenden Schritte auszuführen.
Beschränken Sie den Webserver auf das TLS 1.2-Protokoll.
Überprüfen Sie die aktuellen iDRAC-Webservereinstellungen:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
So legen Sie die iDRAC-Webservereinstellungen auf TLS 1.2 fest:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Verwenden Sie den Befehl "get", um die Einstellungen des iDRAC-Webserver-TLS-Protokolls zu bestätigen:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Über die grafische Benutzeroberfläche von IDRAC wird der folgende Screenshot angezeigt.
Überprüfen Sie den SNMP-Agent unter "SNMP Community Name" und ändern Sie den standardmäßigen SNMP Community-Namen von "Public", um einen anderen Namen anzugeben, oder wählen Sie alternativ SNMPv3 Protocol aus.
Das folgende Snippet stammt aus dem TSR-Bericht – Abschnitt Hardware – Attribute als Referenz.
Siehe möglicherweise auch den Abschnitt Grafische Benutzeroberfläche von iDRAC – iDRAC-Einstellungen – Netzwerk – Services.
RACADM CLI-Befehl zur Überprüfung der SNMP-Agent – SNMP-Protokolleinstellungen:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Hier sind die gültigen Werte
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Befehl zum Ändern des Objektwerts:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
RACADM-Befehl zur Überprüfung des SNMP-Agent – SNMP-Community-Name:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Befehl zum Festlegen des SNMP-Community-Namens:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
IDRAC8 RACADM CLI – Handbuch
Integrated Dell Remote Access Controller 9 RACADM CLI – Handbuch | Dell USA
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.