IDRAC: Vulnerabilità CVE: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Protezione della console virtuale con TLS 1.2
Summary: Questo articolo aiuta a formulare il piano d'azione per mitigare i CVE riportati di seguito mentre il cliente segnala avvisi di vulnerabilità su IDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Se il nostro cliente segnala vulnerabilità CVE su IDRAC con il risultato della scansione che punta a numero CVE, porta associata, descrizione come di seguito nel report di scansione, per mitigare queste CVE, consultare i passaggi riportati di seguito per modificare le impostazioni IDRAC come richiesto e suggerire al cliente di eseguire nuovamente la scansione.
| CVE | Port | Name | Descrizione |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack Gestione dell'URL del server Java Overflow DoS. | Il server web remoto può smettere di rispondere a seguito di una richiesta troppo lunga: GET /servlet/AAAA... AAAA. È noto che questo attacco colpisce i server GroupWise. |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Get Newline DoS. | Era possibile terminare il server Web inviando una richiesta che termina con due caratteri LF invece della normale sequenza CR LF CR LF (CR = ritorno a capo, LF = avanzamento riga). Un utente malintenzionato può sfruttare questa vulnerabilità per causare l'arresto anomalo del server e di tutte le applicazioni LabView. |
| CVE-1999-0517 | 161 | Nome della community predefinita dell'agent SNMP (pubblico) | È possibile ottenere il nome della community predefinita del server SNMP remoto. Un utente malintenzionato può utilizzare queste informazioni per ottenere maggiori informazioni sull'host remoto o per modificare la configurazione del sistema remoto (se la community predefinita consente tali modifiche). |
| 5900 | Protocollo TLS versione 1.1 obsoleto | Il servizio remoto accetta connessioni crittografate tramite TLS 1.1. TLS 1.1 non supporta i pacchetti di crittografia correnti e consigliati. Le crittografie che supportano la crittografia prima del calcolo MAC e le modalità di crittografia autenticata come GCM non possono essere utilizzate con TLS 1.1. A partire dal 31 marzo 2020, gli endpoint non abilitati per TLS 1.2 e versioni successive non funzioneranno più correttamente con i principali web browser e fornitori. |
È possibile accedere tramite SSH all'IP iDRAC o utilizzare iDRAC Tools per i comandi RACADM remoti per seguire la procedura riportata di seguito.
Limita il server web al protocollo TLS 1.2.
Controllare le impostazioni correnti del server web iDRAC:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Per configurare le impostazioni del server web iDRAC su TLS 1.2:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Utilizzare il comando get per confermare le impostazioni del protocollo TLS del server web iDRAC:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Tramite l'interfaccia utente grafica di IDRAC, è possibile visualizzare la schermata seguente.
Verificare SNMP Agent "SNMP Community Name" e modificare il nome predefinito SNMP Community name da "Public" per specificare un nome diverso o, in alternativa, selezionare SNMPv3 Protocol.
Questo frammento di codice riportato di seguito è tratto dal report TSR - Hardware - Sezione Attributi per riferimento.
È inoltre possibile consultare la sezione Interfaccia grafica utente iDRAC - Impostazioni iDRAC - Rete - Servizi.
Comando CLI RACADM per verificare le impostazioni SNMP Agent - SNMP Protocol:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Qui i valori
legali● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Comando per modificare il valore dell'oggetto:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
Comando RACADM per verificare l'agent SNMP - Nome community SNMP:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Comando per impostare il nome della community SNMP:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
Guida
CLI RACADM IDRAC8Guida alla CLI RACADM di Integrated Dell Remote Access Controller 9 | Dell Stati Uniti
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.