IDRAC: Вразливості CVE: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Захист віртуальної консолі за допомогою TLS 1.2

Summary: Ця стаття допоможе вам сформулювати план дій для пом'якшення наведених нижче CVE, поки клієнти повідомляють про сповіщення про вразливості на IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Якщо наш клієнт повідомляє про вразливості CVE на IDRAC, при цьому результат сканування вказує на номер CVE, асоційований порт, опис, як показано нижче у звіті про сканування, щоб пом'якшити ці CVE, будь ласка, перегляньте наведені нижче кроки, щоб змінити необхідні налаштування IDRAC і запропонувати клієнту повторно запустити сканування.
 

СВЕ Порт Ім'я Опис
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server Обробка URL переповнення DoS. Віддалений веб-сервер може перестати відповідати через занадто довгий запит: ОТРИМАТИ /servlet/AAAA... АААА.
Відомо, що ця атака впливає на сервери GroupWise.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS. Можна було вбити веб-сервер, відправивши запит, який закінчується двома НЧ символами замість звичайної послідовності CR LF CR LF (CR = повернення каретки, НЧ = переведення рядка).
Зловмисник може використати цю вразливість, щоб спричинити збій цього сервера та всіх додатків LabView.
CVE-1999-0517 161 Ім'я спільноти агента SNMP за замовчуванням (загальнодоступне) Можна отримати ім'я спільноти за замовчуванням віддаленого сервера SNMP.
Зловмисник може використовувати цю інформацію для отримання додаткових знань про віддалений хост або для зміни конфігурації віддаленої системи (якщо спільнота за замовчуванням дозволяє такі модифікації).
  5900 Протокол TLS версії 1.1 не підтримується Віддалена служба приймає зашифровані з'єднання за допомогою протоколу TLS 1.1. TLS 1.1 не підтримує поточні та рекомендовані набори шифрів. Шифри, які підтримують шифрування перед обчисленнями MAC, а також автентифіковані режими шифрування, такі як GCM, не можуть використовуватися з TLS 1.1. З 31 березня 2020 року кінцеві точки, не ввімкнені для TLS 1.2 і новішої версії, більше не працюватимуть належним чином у основних веб-браузерах і основних постачальників.


Ви можете використовувати SSH на IDRAC IP або використовувати інструменти iDRAC для віддалених команд RACADM, щоб виконати наведені нижче дії.
Обмежте веб-сервер протоколом TLS 1.2.

Перевірте поточні налаштування веб-сервера iDRAC:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Щоб встановити параметри веб-сервера iDRAC на TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
За допомогою команди get підтвердити налаштування протоколу TLS веб-сервера iDRAC:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Через графічний інтерфейс користувача IDRAC - може бути видно скріншот нижче.

Інтерфейс iDRAC показує розділ мережі з виділенням протоколу TLS

Перевірте ім'я спільноти SNMP агента SNMP і змініть ім'я спільноти SNMP за замовчуванням з «Загальнодоступне», щоб вказати інше ім'я, або альтернативно виберіть протокол SNMPv3.
Цей фрагмент нижче взято зі звіту TSR - Обладнання - Атрибути для довідки.
Звіт TSR – Обладнання – Розділ Атрибути

Також може з'явитися розділ Графічний інтерфейс користувача IDRAC - Налаштування iDRAC - Мережа - Служби.
iDRAC UI - Мережа - Розділ Послуги

Команда RACADM CLI для перевірки налаштувань SNMP Agent - SNMP Protocol:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Тут допустимі значення
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Команда для зміни значення об'єкта:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

Команда RACADM для перевірки агента SNMP - Назва спільноти SNMP:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Команда для встановлення імені спільноти SNMP:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


Посібник IDRAC8 RACADM CLI
Вбудований контролер віддаленого доступу Dell 9 Посібник з RACADM CLI | Dell США

Affected Products

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.