IDRAC: CVE-sårbarheter: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Sikre virtuell konsoll med TLS 1.2

Summary: Denne artikkelen hjelper deg med å formulere handlingsplanen for å redusere CVE-ene nedenfor mens kunden rapporterer sårbarhetsvarsler på IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hvis kunden vår rapporterer CVE-sårbarheter på IDRAC med skanneresultatet som peker mot CVE-nummer, tilknyttet port, beskrivelse som nedenfor på skannerapporten. Hvis kunden vår rapporterer CVE-sårbarheter på IDRAC etter behov, kan du se fremgangsmåten nedenfor for å endre IDRAC-innstillingene etter behov og foreslå at kunden kjører skanningen på nytt.
 

CVE Port Navn Beskrivelse
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server URL Handling Overflow DoS. Den eksterne webserveren kan ikke svare på en altfor lang forespørsel: GET / servlet / AAAA ... AAAA.
Dette angrepet er kjent for å påvirke GroupWise-servere.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS. Det var mulig å drepe webserveren ved å sende en forespørsel som slutter med to LF-tegn i stedet for den normale sekvensen CR LF CR LF (CR = vognretur, LF = linjemating).
En angriper kan utnytte dette sikkerhetsproblemet for å få denne serveren og alle LabView-programmer til å krasje.
CVE-1999-0517 161 SNMP-agent Standard fellesskapsnavn (offentlig) Det er mulig å få standard fellesskapsnavn for den eksterne SNMP-serveren.
En angriper kan bruke denne informasjonen til å få mer kunnskap om den eksterne verten, eller til å endre konfigurasjonen av det eksterne systemet (hvis standardfellesskapet tillater slike endringer).
  5900 TLS versjon 1.1-protokoll avskrevet Den eksterne tjenesten godtar krypterte tilkoblinger ved hjelp av TLS 1.1. TLS 1.1 mangler støtte for gjeldende og anbefalte chiffreringssamlinger. Chiffer som støtter kryptering før MAC-beregning og godkjente krypteringsmodi som GCM, kan ikke brukes med TLS 1.1. Fra og med 31. mars 2020 vil endepunkter som ikke er aktivert for TLS 1.2 og nyere, ikke lenger fungere ordentlig med store nettlesere og store leverandører.


Du kan SSH til IDRAC IP eller bruke iDRAC Tools for eksterne RACADM-kommandoer for å følge trinnene nedenfor.
Begrens Webserver til TLS 1.2-protokollen.

Kontroller gjeldende innstillinger for iDRAC-webserveren:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Slik angir du innstillingene for iDRAC-webserveren til TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Bruk get-kommandoen for å bekrefte innstillingene for iDRAC Webserver TLS-protokollen:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Gjennom IDRAC grafisk brukergrensesnitt - kan se skjermbildet nedenfor.

iDRAC-grensesnittet som viser nettverksdelen som uthever TLS-protokollen

Kontroller SNMP Agent "SNMP Community Name", og endre standard SNMP Community-navn fra "Public" for å angi et annet navn, eller alternativt velge SNMPv3 Protocol.
Denne kodebiten nedenfor er hentet fra TSR-rapporten – maskinvare – attributtdelen for referanse.
TSR-rapport – maskinvare – attributter

Kan også se IDRAC grafisk brukergrensesnitt - iDRAC-innstillinger - Nettverk - Tjenester seksjon.
iDRAC-grensesnitt – nettverk – delen med tjenester

RACADM CLI-kommando for å kontrollere innstillingene for SNMP Agent – SNMP-protokollen:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Her er de juridiske verdiene
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Kommando for å endre objektverdi:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

RACADM-kommando for å kontrollere SNMP-agent – SNMP-fellesskapsnavn:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Kommando for å angi SNMP-fellesskapsnavn:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


Veiledning
for IDRAC8 RACADM CLIIntegrated Dell Remote Access Controller 9 RACADM CLI Guide | Dell USA

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.