IDRAC:CVE 漏洞:CVE-2000-0146、CVE-2002-0748、CVE-1999-0517:使用 TLS 1.2 保护虚拟控制台
Summary: 本文可帮助您制定行动计划,以便在客户报告 IDRAC 上的漏洞警报时缓解以下 CVE。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
如果我们的客户报告 IDRAC 上的 CVE 漏洞,并且扫描结果指向扫描报告上的 CVE 编号、关联端口、描述(如下所示)- 要缓解这些 CVE,请参阅以下步骤以根据需要更改 IDRAC 设置,并建议客户重新运行扫描。
| CVE | 端口 | 名称 | 描述 |
| CVE-2000-0146 | 5900 | Novell GroupWise 增强包 Java Server URL 处理溢出 DoS。 | 远程 Web 服务器可能会因请求过长而变得无响应:GET /servlet/AAAA...AAAA的。 据了解,此攻击会影响 GroupWise 服务器。 |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Get 换行符 DoS。 | 可以通过发送以两个 LF 字符结尾的请求而不是正常序列 CR LF CR LF(CR = 回车,LF = 换行符)来终止 Web 服务器。 攻击者可利用此漏洞使此服务器和所有LabView应用程序崩溃。 |
| CVE-1999-0517 | 161 | SNMP 代理默认社区名称(公共) | 可以获取远程 SNMP 服务器的默认社区名称。 攻击者可以使用此信息来获取有关远程主机的更多知识,或更改远程系统的配置(如果默认社区允许此类修改)。 |
| 5900 | 已弃用 TLS 版本 1.1 协议 | 远程服务接受使用 TLS 1.1 的加密连接。TLS 1.1 缺乏对当前和建议的加密套件的支持。支持在 MAC 计算之前加密的密码以及经过身份验证的加密模式(如 GCM)不能与 TLS 1.1 一起使用。自 2020 年 3 月 31 日起,未启用 TLS 1.2 及更高版本的端点将无法再与主要 Web 浏览器和主要供应商一起正常运行。 |
您可以通过 SSH 连接到 IDRAC IP 或使用 iDRAC 工具执行远程 RACADM 命令,以执行以下步骤。
将 Webserver 限制为 TLS 1.2 协议。
检查当前的 iDRAC Webserver 设置:
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
要将 iDRAC Webserver 设置设置为 TLS 1.2,请执行以下作:
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
使用 get 命令确认 iDRAC Webserver TLS 协议设置:
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
通过 IDRAC 图形用户界面 — 可以看到下面的屏幕截图。
验证 SNMP 代理程序的“SNMP 团体名称”,并将默认 SNMP 团体名称从“公共”更改为其他名称,或者选择 SNMPv3 协议。
以下代码片段摘自 TSR 报告 — 硬件 — 属性部分,以供参考。
另请参阅 IDRAC 图形用户界面 - iDRAC 设置 - 网络 - 服务部分。
用于验证 SNMP 代理程序 — SNMP 协议设置的 RACADM CLI 命令:
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
这里的法律值
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
用于更改对象值的命令:
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
用于验证 SNMP 代理程序 — SNMP 团体名称的 RACADM 命令:
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
用于设置 SNMP 团体名称的命令:
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
IDRAC8 RACADM CLI 指南
Integrated Dell Remote Access Controller 9 RACADM CLI 指南 |戴尔美国
Affected Products
PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615
, PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620
...
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 08 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.