IDRAC: CVE-säkerhetsrisker: CVE-2000-0146, CVE-2002-0748 och CVE-1999-0517: Skydda den virtuella konsolen med TLS 1.2

Summary: Den här artikeln hjälper dig att formulera åtgärdsplanen för att minimera nedanstående CVE:er medan kunden rapporterar sårbarhetsaviseringar på IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Om vår kund rapporterar CVE-sårbarheter på IDRAC med genomsökningsresultatet pekande mot CVE-nummer, associerad port, beskrivning enligt nedan i genomsökningsrapporten kan du följa stegen nedan för att ändra IDRAC-inställningarna efter behov och föreslå att kunden kör genomsökningen igen.
 

CVE Port Namn Beskrivning
CVE-2000-0146 5900 Novell GroupWise-förbättringspaket för Java-server-URL-hantering Överbelastningsgarantier. Fjärrwebbservern kan sluta svara på grund av en alltför lång begäran: FÅ /servlet/AAAA... AAAA.
Den här attacken är känd för att påverka GroupWise-servrar.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Få nyrad DoS. Det var möjligt att avsluta webbservern genom att skicka en begäran som slutar med två LF-tecken istället för den normala sekvensen CR LF CR LF (CR = vagnretur, LF = radmatning).
En angripare kan utnyttja denna sårbarhet för att få den här servern och alla LabView-applikationer att krascha.
CVE-1999-0517 161 Standardnamn för SNMP-agentgrupp (offentligt) Det går att hämta standardnamnet för SNMP-fjärrservern.
En angripare kan använda den här informationen för att få mer kunskap om fjärrvärden eller för att ändra konfigurationen av fjärrsystemet (om standardgemenskapen tillåter sådana ändringar).
  5900 TLS version 1.1-protokollet är inaktuellt Fjärrtjänsten accepterar krypterade anslutningar med TLS 1.1. TLS 1.1 saknar stöd för aktuella och rekommenderade chiffersviter. Chiffer som stöder kryptering före MAC-beräkning och autentiserade krypteringslägen som GCM kan inte användas med TLS 1.1. Från och med den 31 mars 2020 kommer slutpunkter som inte är aktiverade för TLS 1.2 och senare inte längre att fungera korrekt med större webbläsare och större leverantörer.


Du kan SSH-ansluta till IDRAC IP eller använda iDRAC-verktyg för RACADM-fjärrkommandon för att följa stegen nedan.
Begränsa webbservern till TLS 1.2-protokollet.

Kontrollera de aktuella inställningarna för iDRAC-webbserver:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Så här ställer du in inställningarna för iDRAC-webbservern till TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Använd get-kommandot för att bekräfta inställningarna för iDRAC-webbserverns TLS-protokoll:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Via IDRAC:s grafiska användargränssnitt – kan se skärmbilden nedan.

iDRAC-gränssnittet visar nätverksavsnittet som markerar TLS-protokollet

Kontrollera SNMP-agentens SNMP Community Name och ändra SNMP Community-namnet till "Public" för att ange ett annat namn eller välj SNMPv3 Protocol.
Kodfragmentet nedan är hämtat från TSR-rapporten – Maskinvara – Attributavsnittet som referens.
TSR-rapport – Hårdvara – Attributavsnitt

Du kan även se IDRAC:s grafiska användargränssnitt – iDRAC-inställningar – Nätverk – Tjänster.
iDRAC-gränssnittet – Nätverk – avsnittet Tjänster

RACADM CLI-kommando för att verifiera inställningarna för SNMP-agenten – SNMP-protokollet:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Här är de rättsliga värdena
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Kommando för att ändra objektvärde:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

RACADM-kommando för att verifiera SNMP-agenten – SNMP – gruppnamn:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Kommando för att ställa in SNMP-gruppnamnet:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


IDRAC8 RACADM CLI-guide
RACADM CLI-guide för Integrated Dell Remote Access Controller 9 | Dell USA

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.