IDRAC : Failles de sécurité CVE : CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 : Sécurisation de la console virtuelle avec TLS 1.2

Summary: Cet article vous aide à formuler le plan d’action pour limiter les CVE ci-dessous lorsque le client signale des alertes de vulnérabilité sur l’iDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Si notre client signale des failles de sécurité CVE sur l’iDRAC et que le résultat de l’analyse pointe vers le numéro CVE, le port associé et la description, comme indiqué ci-dessous sur le rapport d’analyse, pour atténuer ces vulnérabilités, veuillez suivre les étapes ci-dessous pour modifier les paramètres iDRAC selon les besoins et suggérez au client de réexécuter l’analyse.
 

CVE Port Nom Description
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Serveur Java Gestion des dépassements d’URL DoS. Le serveur Web distant peut cesser de répondre en cas de requête trop longue : GET /servlet/AAAA... AAAA.
Cette attaque est connue pour affecter les serveurs GroupWise.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Obtenir un déni de service nouvelle ligne. Il était possible de tuer le serveur web en envoyant une requête qui se terminait par deux caractères LF au lieu de la séquence normale CR LF CR LF (CR = retour chariot, LF = saut de ligne).
Un attaquant peut exploiter cette vulnérabilité pour faire planter ce serveur et toutes les applications LabView.
CVE-1999-0517 161 Nom de communauté par défaut de l’agent SNMP (public) Il est possible d’obtenir le nom de communauté par défaut du serveur SNMP distant.
Un attaquant peut utiliser ces informations pour obtenir plus de connaissances sur l’hôte distant ou pour modifier la configuration du système distant (si la communauté par défaut autorise de telles modifications).
  5900 Protocole TLS version 1.1 obsolète Le service distant accepte les connexions chiffrées utilisant TLS 1.1. TLS 1.1 ne prend pas en charge les suites de chiffrement actuelles et recommandées. Les chiffrements qui prennent en charge le chiffrement avant le calcul MAC et les modes de chiffrement authentifiés tels que GCM ne peuvent pas être utilisés avec TLS 1.1. À compter du 31 mars 2020, les points de terminaison qui ne sont pas activés pour TLS 1.2 et versions ultérieures ne fonctionneront plus correctement avec les principaux navigateurs Web et fournisseurs.


Vous pouvez vous connecter en SSH à l’adresse IP de l’iDRAC ou utiliser les outils iDRAC pour les commandes RACADM distantes afin de suivre les étapes ci-dessous.
Limitez Webserver au protocole TLS 1.2.

Vérifiez les paramètres actuels du serveur Web de l’iDRAC :

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Pour définir les paramètres du serveur Web de l’iDRAC sur TLS 1.2 :

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Utilisez la commande get pour confirmer les paramètres du protocole TLS du serveur Web de l’iDRAC :

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Via l’interface utilisateur graphique iDRAC : peut voir la capture d’écran ci-dessous.

UI iDRAC affichant la section réseau mettant en évidence le protocole TLS

Vérifiez le nom de communauté SNMP de l’agent SNMP et faites passer le nom de communauté SNMP par défaut de « Public » à un nom différent ou sélectionnez le protocole SNMPv3.
L’extrait ci-dessous est extrait du rapport TSR - Matériel - Section Attributs pour référence.
Rapport TSR – Matériel – Section Attributs

Vous pouvez également consulter la section Interface utilisateur graphique de l’iDRAC - Paramètres de l’iDRAC - Réseau - Services.
UI iDRAC : section Réseau - Services

Commande CLI RACADM pour vérifier les paramètres Agent SNMP - Protocole SNMP :

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Voici les valeurs
légales● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Commande pour modifier la valeur de l’objet :

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

Commande RACADM pour vérifier l’agent SNMP - Nom de la communauté SNMP :

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Commande permettant de définir le nom de communauté SNMP :

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


IDRAC8 RACADM CLI Guide
Guide de l’interface de ligne de commande RACADM de l’Integrated Dell Remote Access Controller 9 | Dell États-Unis

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.