Kontroler iDRAC: Luki w zabezpieczeniach CVE: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Zabezpieczanie konsoli wirtualnej za pomocą protokołu TLS 1.2
Summary: Ten artykuł pomaga sformułować plan działania w celu złagodzenia poniższych CVE, gdy klient zgłasza alerty dotyczące luk w zabezpieczeniach kontrolera iDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Jeśli nasz klient zgłosi luki CVE w kontrolerze iDRAC, a wynik skanowania wskazuje na numer CVE, powiązany port i opis, jak poniżej w raporcie ze skanowania, w celu złagodzenia tych luk CVE należy wykonać poniższe czynności, aby zmienić ustawienia kontrolera iDRAC zgodnie z wymaganiami i zasugerować klientowi ponowne uruchomienie skanowania.
| CVE | Port | Nazwa | Opis |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack, Java Server, obsługa adresów URL, przepełnienie, DoS. | Zdalny serwer WWW może przestać odpowiadać z powodu zbyt długiego żądania: GET /servlet/AAAA... AAAA. Wiadomo, że atak ten dotyczy serwerów GroupWise. |
| CVE-2002-0748 | 5900 | Serwer WWW LabVIEW HTTP Pobierz Newline DoS. | Możliwe było zabicie serwera WWW poprzez wysłanie żądania, które kończy się dwoma znakami LF zamiast normalnej sekwencji CR LF CR LF (CR = powrót karetki, LF = wysuw wiersza). Osoba atakująca może wykorzystać tę lukę, aby spowodować awarię tego serwera i wszystkich aplikacji LabView. |
| CVE-1999-0517 | 161 | Domyślna nazwa społeczności agenta SNMP (publiczna) | Istnieje możliwość uzyskania domyślnej nazwy wspólnoty zdalnego serwera SNMP. Osoba atakująca może wykorzystać te informacje, aby uzyskać więcej wiedzy o zdalnym hoście lub zmienić konfigurację zdalnego systemu (jeśli domyślna społeczność zezwala na takie modyfikacje). |
| 5900 | Protokół TLS w wersji 1.1 jest przestarzały | Usługa zdalna akceptuje połączenia szyfrowane przy użyciu protokołu TLS 1.1. Protokół TLS 1.1 nie obsługuje bieżących i zalecanych zestawów szyfrowania. Szyfry, które obsługują szyfrowanie przed obliczeniem adresu MAC i uwierzytelnione tryby szyfrowania, takie jak GCM, nie mogą być używane z protokołem TLS 1.1. Od 31 marca 2020 r. punkty końcowe, które nie obsługują protokołu TLS 1.2 i nowszych, nie będą już działać poprawnie z głównymi przeglądarkami internetowymi i głównymi dostawcami. |
Aby wykonać poniższe czynności, możesz połączyć się z adresem IP kontrolera iDRAC przez SSH lub użyć narzędzi iDRAC Tools dla zdalnych poleceń RACADM.
Ogranicz serwer WWW do protokołu TLS 1.2.
Sprawdź bieżące ustawienia serwera WWW kontrolera iDRAC:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Aby ustawić ustawienia serwera WWW kontrolera iDRAC na TLS 1.2:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Użyj polecenia get, aby potwierdzić ustawienia protokołu TLS serwera WWW kontrolera iDRAC:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Za pośrednictwem graficznego interfejsu użytkownika kontrolera iDRAC — można zobaczyć poniższy zrzut ekranu.
Sprawdź "Nazwa społeczności SNMP" agenta SNMP i zmień domyślną nazwę społeczności SNMP z "Public", aby określić inną nazwę, lub alternatywnie wybierz protokół SNMPv3.
Poniższy fragment kodu pochodzi z raportu TSR — Sprzęt — sekcja atrybutów w celach informacyjnych.
Może również zostać wyświetlona sekcja Graficzny interfejs użytkownika kontrolera iDRAC — Ustawienia kontrolera iDRAC — Sieć — Usługi.
Polecenie interfejsu wiersza polecenia RACADM weryfikujące ustawienia agenta SNMP — protokołu SNMP:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Oto wartości
prawne● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Polecenie zmiany wartości obiektu:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
Polecenie RACADM do weryfikacji agenta SNMP — nazwa społeczności SNMP:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Polecenie ustawiania nazwy wspólnoty SNMP:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
Przewodnik
po interfejsie wiersza polecenia RACADM kontrolera IDRAC8Przewodnik interfejsu wiersza polecenia RACADM kontrolera Integrated Dell Remote Access Controller 9 | Dell US
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.