IDRAC: Vulnerabilidades de CVE: CVE-2000-0146, CVE-2002-0748 y CVE-1999-0517: Protección de la consola virtual con TLS 1.2
Summary: Este artículo lo ayuda a formular el plan de acción para mitigar las siguientes CVE mientras el cliente informa alertas de vulnerabilidad en IDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Si nuestro cliente informa vulnerabilidades de CVE en IDRAC con el resultado del análisis que apunta hacia el número de CVE, el puerto asociado y la descripción como se indica a continuación en el informe de análisis, para mitigar estas CVE, consulte los pasos que se indican a continuación para cambiar la configuración de IDRAC según sea necesario y sugiera al cliente que vuelva a ejecutar el análisis.
| CVE | Puerto | Nombre | Descripción |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack Dirección URL del servidor Java que gestiona DoS de desbordamiento. | El servidor web remoto puede dejar de responder debido a una solicitud demasiado larga: GET /servlet/AAAA... AAAA. Se sabe que este ataque afecta a los servidores de GroupWise. |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Get Newline DoS. | Era posible cerrar el servidor web enviando una solicitud que terminaba con dos caracteres LF en lugar de la secuencia normal CR LF CR LF (CR = retorno de carro, LF = salto de línea). Un atacante puede explotar esta vulnerabilidad para hacer que este servidor y todas las aplicaciones de LabView se bloqueen. |
| CVE-1999-0517 | 161 | Nombre de comunidad predeterminado del agente SNMP (público) | Es posible obtener el nombre de comunidad predeterminado del servidor SNMP remoto. Un atacante puede utilizar esta información para obtener más conocimiento sobre el host remoto o para cambiar la configuración del sistema remoto (si la comunidad predeterminada permite tales modificaciones). |
| 5900 | Protocolo TLS versión 1.1 obsoleto | El servicio remoto acepta conexiones cifradas mediante TLS 1.1. TLS 1.1 no es compatible con los conjuntos de cifrado actuales y recomendados. Los cifrados que admiten el cifrado antes de la computación MAC y los modos de cifrado autenticados, como GCM, no se pueden utilizar con TLS 1.1. A partir del 31 de marzo de 2020, los terminales que no estén habilitados para TLS 1.2 y superior ya no funcionarán correctamente con los principales navegadores web y proveedores. |
Puede usar SSH en la IP de iDRAC o utilizar las herramientas de iDRAC para comandos RACADM remotos para seguir los pasos que se indican a continuación.
Restrinja WebServer al protocolo TLS 1.2.
Compruebe la configuración actual del servidor web de iDRAC:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Para establecer la configuración del servidor web de iDRAC en TLS 1.2:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Utilice el comando get para confirmar la configuración del protocolo TLS del servidor web de iDRAC:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
A través de la interfaz gráfica de usuario de iDRAC, puede ver la siguiente captura de pantalla.
Verifique el agente SNMP "SNMP Community Name" y cambie el nombre predeterminado de SNMP Community de "Public" para especificar un nombre diferente o,
alternativamente, seleccione SNMPv3 Protocol.El siguiente fragmento se tomó del informe de TSR - Hardware - Sección Atributos para referencia.
También puede ver la sección Interfaz gráfica de usuario de iDRAC - Configuración de iDRAC - Red - Servicios.
Comando de la CLI de RACADM para verificar los ajustes del protocolo SNMP - Agente SNMP:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Aquí, los valores
permitidos● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Comando para cambiar el valor del objeto:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
Comando RACADM para verificar el agente SNMP: nombre de comunidad SNMP:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Comando para establecer el nombre de comunidad SNMP:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
Guía
de la CLI de RACADM de IDRAC8Guía de la CLI RACADM de Integrated Dell Remote Access Controller 9 | Dell EE. UU.
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.