Контроллер iDRAC: Уязвимости CVE: CVE-2000-0146, CVE-2002-0748 и CVE-1999-0517: Защита виртуальной консоли с помощью TLS 1.2
Summary: Эта статья поможет вам сформулировать план действий по устранению указанных ниже CVE при отправке заказчиком оповещений об уязвимостях в iDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Если наш заказчик сообщает об уязвимостях CVE в iDRAC, а результат сканирования указывает на номер CVE, связанный порт и описание, как указано ниже в отчете о сканировании, чтобы устранить эти CVE, выполните следующие действия, чтобы при необходимости изменить настройки iDRAC, и предложите заказчику повторно выполнить сканирование.
| CVE | Port | Имя | Описание |
| CVE-2000-0146 | 5900 | Пакет расширения Novell GroupWise Обработка URL-адресов Java-сервера Переполнение DoS. | Удаленный веб-сервер может перестать отвечать из-за слишком длинного запроса: GET /servlet/AAAA... АААА. Известно, что эта атака затрагивает серверы GroupWise. |
| CVE-2002-0748 | 5900 | Веб-сервер LabVIEW HTTP Get Newline DoS. | Можно было убить веб-сервер, отправив запрос, который заканчивается двумя символами LF вместо обычной последовательности CR LF CR LF (CR = возврат каретки, LF = перевод строки). Злоумышленник может воспользоваться этой уязвимостью, чтобы вызвать сбой этого сервера и всех приложений LabView. |
| CVE-1999-0517 | 161 | Имя сообщества агента SNMP по умолчанию (публичное) | Можно получить имя сообщества по умолчанию для удаленного сервера SNMP. Злоумышленник может использовать эту информацию для получения дополнительных сведений об удаленном хосте или для изменения конфигурации удаленной системы (если сообщество по умолчанию допускает такие изменения). |
| 5900 | Протокол TLS версии 1.1 устарел | Удаленная служба принимает зашифрованные соединения с использованием протокола TLS 1.1. В TLS 1.1 отсутствует поддержка текущих и рекомендованных пакетов шифрования. Шифры, поддерживающие шифрование перед вычислением MAC, и режимы шифрования с аутентификацией, такие как GCM, не могут использоваться с TLS 1.1. С 31 марта 2020 г. конечные точки, для которых не включена поддержка TLS 1.2 и более поздних версий, больше не будут должным образом работать с основными веб-браузерами и основными поставщиками. |
Можно подключиться по SSH к IP-адресу IDRAC или использовать iDRAC Tools для удаленных команд RACADM, чтобы выполнить следующие действия.
Ограничьте веб-сервер протоколом TLS 1.2.
Проверьте текущие настройки веб-сервера iDRAC.
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Чтобы установить для параметров веб-сервера iDRAC значение TLS 1.2, выполните следующие действия.
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Используйте команду get для подтверждения настроек протокола TLS веб-сервера iDRAC:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Через графический интерфейс пользователя IDRAC — можно увидеть снимок экрана ниже.
Проверьте для агента SNMP значение «SNMP Community Name» и измените имя сообщества SNMP по умолчанию с «Public», чтобы указать другое имя, или выберите протокол SNMPv3.
Приведенный ниже фрагмент кода взят из отчета TSR - Оборудование - Атрибуты для справки.
Также можно увидеть раздел Графический пользовательский интерфейс iDRAC - Настройки iDRAC - Сеть - Службы.
Команда интерфейса командной строки RACADM для проверки агента SNMP — параметров протокола SNMP:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Здесь приведены юридические значения
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Команда для изменения значения объекта:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
Команда RACADM для проверки агента SNMP — имя SNMP сообщества:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Команда для установки имени SNMP-сообщества:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
Руководство по
интерфейсу командной строки IDRAC8 RACADMРуководство по интерфейсу командной строки Integrated Dell Remote Access Controller 9 RACADM | Dell, США
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.