IDRAC:CVE 漏洞:CVE-2000-0146、CVE-2002-0748、CVE-1999-0517:使用 TLS 1.2 保護虛擬主控台
Summary: 本文可協助您制定行動計畫,以在客戶回報 IDRAC 漏洞警示時,緩解下列 CVE。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
如果我們的客戶回報 IDRAC 上的 CVE 漏洞,掃描結果指向掃描報告中的 CVE 編號、關聯連接埠、說明,如下所述,若要緩解這些 CVE,請參閱以下步驟,視需要變更 IDRAC 設定,並建議客戶重新執行掃描。
| CVE | 連接埠 | 名稱 | 說明 |
| CVE-2000-0146 | 5900 | Novell GroupWise 增強套件 JAVA 伺服器 URL 處理溢出 DoS。 | 遠端 Web 伺服器可能會因過長的請求而變得無回應:取得 /servlet/AAAA...啊。 已知此攻擊會影響 GroupWise 伺服器。 |
| CVE-2002-0748 | 5900 | LabVIEW Web 伺服器 HTTP 獲取換行 DoS。 | 可以通過發送以兩個 LF 字元結尾的請求而不是正常序列 CR LF CR LF(CR = 回車符,LF = 換行符)來終止 Web 伺服器。 攻擊者可利用此漏洞導致該伺服器和所有LabView應用崩潰。 |
| CVE-1999-0517 | 161 | SNMP 代理程式預設社群名稱 (公開) | 可以獲取遠端 SNMP 伺服器的預設社區名稱。 攻擊者可使用此資訊進一步瞭解遠端主機,或更改遠端系統的配置(如果預設社區允許此類修改)。 |
| 5900 | 已棄用 TLS 版本 1.1 通訊協定 | 遠端服務接受使用 TLS 1.1 的加密連接。TLS 1.1 缺少對當前和推薦密碼套件的支援。在 MAC 計算之前支援加密的密碼和經過身份驗證的加密模式(如 GCM)不能與 TLS 1.1 一起使用。自 2020 年 3 月 31 日起,未啟用 TLS 1.2 及更高版本的端點將無法再與主要 Web 瀏覽器和主要廠商一起正常運作。 |
您可以透過 SSH 至 iDRAC IP 或使用遠端 RACADM 命令的 iDRAC 工具,以依照下列步驟操作。
將 Web 伺服器限制為 TLS 1.2 協定。
檢查目前的 iDRAC Web 伺服器設定:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
若要將 iDRAC Web 伺服器設定設為 TLS 1.2:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
使用 get 命令確認 iDRAC Web 伺服器 TLS 通訊協定設定:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
透過 IDRAC 圖形使用者介面 - 可能會看到以下螢幕擷取畫面。
確認 SNMP 代理程式「SNMP 社群名稱」,並將預設的 SNMP 社群名稱從「公用」變更為指定不同的名稱或選取 SNMPv3 通訊協定。
以下代碼片段摘自 TSR 報告 - 硬體 - 屬性部分以供參考。
此外,也可能會看到 IDRAC 圖形使用者介面 - iDRAC 設定 - 網路 - 服務一節。
用於驗證 SNMP 代理程式 - SNMP 通訊協定設定的 RACADM CLI 命令:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
此處的法律價值
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
變更物件值的命令:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
用於驗證 SNMP 代理程式 - SNMP 社群名稱的 RACADM 命令:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
設定 SNMP 社群名稱的命令:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
IDRAC8 RACADM CLI 指南
Integrated Dell Remote Access Controller 9 RACADM CLI 指南 |Dell US
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.