IDRAC: CVE-kwetsbaarheden: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Virtuele console beveiligen met TLS 1.2

Summary: Dit artikel helpt u bij het formuleren van het actieplan om de onderstaande CVE's te beperken terwijl de klant beveiligingsmeldingen meldt op IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Als onze klant CVE-kwetsbaarheden op IDRAC meldt waarbij het scanresultaat wijst naar CVE Number, Associated Port, Description zoals hieronder in het scanrapport, om deze CVE's te beperken, raadpleegt u de onderstaande stappen om de IDRAC-instellingen indien nodig te wijzigen en de klant aan te raden de scan opnieuw uit te voeren.
 

CVE Poort Naam Beschrijving
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server URL Handling Overflow DoS. De externe webserver reageert mogelijk niet meer door een te lang verzoek: GET /servlet/AAAA... AAAA.
Het is bekend dat deze aanval gevolgen heeft voor GroupWise-servers.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS. Het was mogelijk om de webserver om zeep te helpen door een verzoek te sturen dat eindigt met twee LF-tekens in plaats van de normale volgorde CR LF CR LF (CR = carriage return, LF = line feed).
Een aanvaller kan dit beveiligingslek misbruiken om deze server en alle LabView-applicaties te laten crashen.
CVE-1999-0517 161 SNMP-agent Standaard communitynaam (openbaar) Het is mogelijk om de standaard communitynaam van de externe SNMP-server te verkrijgen.
Een aanvaller kan deze informatie gebruiken om meer kennis te krijgen over de externe host of om de configuratie van het externe systeem te wijzigen (als de standaardcommunity dergelijke wijzigingen toestaat).
  5900 TLS versie 1.1 Protocol afgeschaft De externe service accepteert versleutelde verbindingen met TLS 1.1. TLS 1.1 biedt geen ondersteuning voor de huidige en aanbevolen coderingssuites. Versleutelingen die versleuteling ondersteunen vóór MAC-berekening en geverifieerde versleutelingsmodi zoals GCM kunnen niet worden gebruikt met TLS 1.1. Vanaf 31 maart 2020 werken eindpunten die niet zijn ingeschakeld voor TLS 1.2 en hoger niet meer goed met de belangrijkste webbrowsers en grote leveranciers.


U kunt SSH naar IDRAC IP of iDRAC-tools gebruiken voor externe RACADM-opdrachten om de onderstaande stappen te volgen.
Beperk Webserver tot het TLS 1.2-protocol.

Controleer de huidige iDRAC Webserver-instellingen:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
De instellingen van de iDRAC Webserver instellen op TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Gebruik de opdracht get om de instellingen van het iDRAC Webserver TLS-protocol te bevestigen:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Via de grafische gebruikersinterface van IDRAC - zie mogelijk de onderstaande schermafbeelding.

iDRAC-gebruikersinterface toont netwerkgedeelte waarin het TLS-protocol wordt gemarkeerd

Controleer SNMP-agent "SNMP Community Name" en wijzig de standaard SNMP-communitynaam van "Public" om een andere naam op te geven of selecteer als alternatief SNMPv3 Protocol.
Dit onderstaande fragment is ter referentie overgenomen uit het TSR-rapport - Hardware - Attributen.
TSR-rapport – Hardware – Attributen Sectie

Zie mogelijk ook het gedeelte IDRAC Graphical user interface - iDRAC Settings - Network - Services.
iDRAC UI - Netwerk - Services

RACADM CLI-opdracht om de instellingen van SNMP Agent - SNMP Protocol te controleren:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Hier worden de juridische waarden
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Opdracht om objectwaarde te wijzigen:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

RACADM-opdracht om de SNMP Agent te verifiëren - SNMP Community Name:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Opdracht voor het instellen van de SNMP Community Name:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


IDRAC8 RACADM CLI gids
Integrated Dell Remote Access Controller 9 RACADM CLI gids | Dell VS

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.