Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

DSA-2021-106:適用於 BIOSConnect 和 HTTPS 開機功能 (為 Dell 用戶端 BIOS 的一部分) 多個漏洞的 Dell 用戶端平台安全性更新

Summary: Dell 正在針對影響 BIOSConnect 和 HTTPS 開機功能的多個安全性漏洞發佈補救方法。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content


Impact

High

Details

專有代碼 CVE 描述名稱 CVSS 基本分數 CVSS 向量字串
CVE-2021-21571 Dell BIOSConnect 功能和 Dell HTTPS 開機功能所使用的 Dell UEFI BIOS https 堆疊內含不正確的憑證驗證漏洞。未經驗證的遠端攻擊者可能會使用中間人攻擊手法來利用此漏洞,其可能會導致拒絕服務和裝載篡改。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect 功能包含緩充區溢位漏洞。擁有系統本機存取權的經驗證惡意系統管理員使用者可能會利用此漏洞,執行任意程式碼並繞過 UEFI 限制。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 和 HTTPS 開機功能的說明:
  • Dell BIOSConnect 功能是一種 Dell 開機前解決方案,用來更新系統 BIOS,並使用 Dell 用戶端平台上的 SupportAssist OS Recovery 復原作業系統 (OS)。注意:BIOSConnect 需要有實際存在的使用者才能啟動此功能。只有具備 BIOSConnect 功能的平台子集會受到影響。請參閱下方「其他資訊」一節下的表格以瞭解受影響的平台。
  • Dell HTTPS 開機功能是一種 UEFI HTTP 開機規格的延伸,可從 HTTP(S) 伺服器開機。注意:此功能並非預設設定,需要擁有本機作業系統管理員權限的實體存在使用者進行設定。此外,與無線網路搭配使用時,必須有實際存在使用者啟動功能。並非所有平台都包含 HTTPS 開機功能。請參閱下方「其他資訊」一節下的表格,以取得受影響的平台清單。
已將上述漏洞報告作為漏洞鏈結回報。漏洞鏈結的累積分數為:8.3 高 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

利用此鏈結需要其他步驟:
  • 若要利用 BIOSConnect 中的漏洞鏈結,惡意源起方必須另外執行其他步驟才能成功利用漏洞鏈結,包括:入侵使用者的網路、取得受 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統上實際存在的使用者使用 BIOSConnect 功能。
  • 若要利用 HTTPS 開機中的漏洞,惡意源起方必須另外執行其他步驟才能成功利用漏洞,包括:入侵使用者網路、取得由 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統實際存在的使用者變更開機順序並使用 HTTPS 開機功能。
除了套用以下補救措施,客戶還可以根據安全性最佳實務,僅使用安全的網路並防止未經授權本機和實體存取裝置,來進一步自我保護。客戶也應啟用平台安全性功能,例如安全開機 (預設為已針對搭載 Windows 的 Dell 平台啟用) 和 BIOS 系統管理員密碼,以提供額外的保護。

備註:如果安全開機已停用,可能會影響與 CVE-2021-21571 安全性漏洞相關的潛在嚴重性。
專有代碼 CVE 描述名稱 CVSS 基本分數 CVSS 向量字串
CVE-2021-21571 Dell BIOSConnect 功能和 Dell HTTPS 開機功能所使用的 Dell UEFI BIOS https 堆疊內含不正確的憑證驗證漏洞。未經驗證的遠端攻擊者可能會使用中間人攻擊手法來利用此漏洞,其可能會導致拒絕服務和裝載篡改。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect 功能包含緩充區溢位漏洞。擁有系統本機存取權的經驗證惡意系統管理員使用者可能會利用此漏洞,執行任意程式碼並繞過 UEFI 限制。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 和 HTTPS 開機功能的說明:
  • Dell BIOSConnect 功能是一種 Dell 開機前解決方案,用來更新系統 BIOS,並使用 Dell 用戶端平台上的 SupportAssist OS Recovery 復原作業系統 (OS)。注意:BIOSConnect 需要有實際存在的使用者才能啟動此功能。只有具備 BIOSConnect 功能的平台子集會受到影響。請參閱下方「其他資訊」一節下的表格以瞭解受影響的平台。
  • Dell HTTPS 開機功能是一種 UEFI HTTP 開機規格的延伸,可從 HTTP(S) 伺服器開機。注意:此功能並非預設設定,需要擁有本機作業系統管理員權限的實體存在使用者進行設定。此外,與無線網路搭配使用時,必須有實際存在使用者啟動功能。並非所有平台都包含 HTTPS 開機功能。請參閱下方「其他資訊」一節下的表格,以取得受影響的平台清單。
已將上述漏洞報告作為漏洞鏈結回報。漏洞鏈結的累積分數為:8.3 高 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

利用此鏈結需要其他步驟:
  • 若要利用 BIOSConnect 中的漏洞鏈結,惡意源起方必須另外執行其他步驟才能成功利用漏洞鏈結,包括:入侵使用者的網路、取得受 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統上實際存在的使用者使用 BIOSConnect 功能。
  • 若要利用 HTTPS 開機中的漏洞,惡意源起方必須另外執行其他步驟才能成功利用漏洞,包括:入侵使用者網路、取得由 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統實際存在的使用者變更開機順序並使用 HTTPS 開機功能。
除了套用以下補救措施,客戶還可以根據安全性最佳實務,僅使用安全的網路並防止未經授權本機和實體存取裝置,來進一步自我保護。客戶也應啟用平台安全性功能,例如安全開機 (預設為已針對搭載 Windows 的 Dell 平台啟用) 和 BIOS 系統管理員密碼,以提供額外的保護。

備註:如果安全開機已停用,可能會影響與 CVE-2021-21571 安全性漏洞相關的潛在嚴重性。
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products and Remediation

已於 2021 年 5 月 28 日在 Dell 後端伺服器上對 BIOSConnect 相關元件中的 CVE-2021-21573 和 CVE-2021-21574 進行補救,客戶無須採取任何其他動作。

CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如: 若無法立即套用 BIOS 更新,Dell 也會提供中期風險降低措施,以停用 BIOSConnect 和 HTTPS 開機功能。請參閱以下章節。
已於 2021 年 5 月 28 日在 Dell 後端伺服器上對 BIOSConnect 相關元件中的 CVE-2021-21573 和 CVE-2021-21574 進行補救,客戶無須採取任何其他動作。

CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如: 若無法立即套用 BIOS 更新,Dell 也會提供中期風險降低措施,以停用 BIOSConnect 和 HTTPS 開機功能。請參閱以下章節。

以下列出受影響的產品和發行日期,以及適用的 BIOS 最低版本:   
 

產品 BIOS 更新版本
(或更高版本)
支援 BIOSConnect 支援 HTTP(s) 開機 發行日期 (MM/DD/YYYY)
預計發行 (Month /YYYY)
Alienware m15 R6 1.3.3 2021/06/21
ChengMing 3990 1.4.1 2021/06/23
ChengMing 3991 1.4.1 2021/06/23
Dell G15 5510 1.4.0 2021/06/21
Dell G15 5511 1.3.3 2021/06/21
Dell G3 3500 1.9.0 2021/06/24
Dell G5 5500 1.9.0 2021/06/24
Dell G7 7500 1.9.0 2021/06/23
Dell G7 7700 1.9.0 2021/06/23
Inspiron 14 5418 2.1.0 A06 2021/06/24
Inspiron 15 5518 2.1.0 A06 2021/06/24
Inspiron 15 7510 1.0.4 2021/06/23
Inspiron 3501 1.6.0 2021/06/23
Inspiron 3880 1.4.1 2021/06/23
Inspiron 3881 1.4.1 2021/06/23
Inspiron 3891 1.0.11 2021/06/24
Inspiron 5300 1.7.1 2021/06/23
Inspiron 5301 1.8.1 2021/06/23
Inspiron 5310 2.1.0 2021/06/23
Inspiron 5400 二合一 1.7.0 2021/06/23
Inspiron 5400 AIO 1.4.0 2021/06/23
Inspiron 5401 1.7.2 2021/06/23
Inspiron 5401 AIO 1.4.0 2021/06/23
Inspiron 5402 1.5.1 2021/06/23
Inspiron 5406 二合一 1.5.1 2021/06/23
Inspiron 5408 1.7.2 2021/06/23
Inspiron 5409 1.5.1 2021/06/23
Inspiron 5410 二合一 2.1.0 2021/06/23
Inspiron 5501 1.7.2 2021/06/23
Inspiron 5502 1.5.1 2021/06/23
Inspiron 5508 1.7.2 2021/06/23
Inspiron 5509 1.5.1 2021/06/23
Inspiron 7300 1.8.1 2021/06/23
Inspiron 7300 二合一 1.3.0 2021/06/23
Inspiron 7306 二合一 1.5.1 2021/06/23
Inspiron 7400 1.8.1 2021/06/23
Inspiron 7500 1.8.0 2021/06/23
Inspiron 7500 二合一 - 黑色 1.3.0 2021/06/23
Inspiron 7500 二合一 - 銀色 1.3.0 2021/06/23
Inspiron 7501 1.8.0 2021/06/23
Inspiron 7506 二合一 1.5.1 2021/06/23
Inspiron 7610 1.0.4 2021/06/23
Inspiron 7700 AIO 1.4.0 2021/06/23
Inspiron 7706 二合一 1.5.1 2021/06/23
Latitude 3120 1.1.0 2021/06/23
Latitude 3320 1.4.0 2021/06/23
Latitude 3410 1.9.0 2021/06/23
Latitude 3420 1.8.0 2021/06/23
Latitude 3510 1.9.0 2021/06/23
Latitude 3520 1.8.0 2021/06/23
Latitude 5310 1.7.0 2021/06/24
Latitude 5310 二合一 1.7.0 2021/06/24
Latitude 5320 1.7.1 2021/06/21
Latitude 5320 二合一 1.7.1 2021/06/21
Latitude 5410 1.6.0 2021/06/23
Latitude 5411 1.6.0 2021/06/23
Latitude 5420 1.8.0 2021/06/22
Latitude 5510 1.6.0 2021/06/23
Latitude 5511 1.6.0 2021/06/23
Latitude 5520 1.7.1 2021/06/21
Latitude 5521 1.3.0 A03 2021/06/22
Latitude 7210 二合一 1.7.0 2021/06/23
Latitude 7310 1.7.0 2021/06/23
Latitude 7320 1.7.1 2021/06/23
Latitude 7320 Detachable 1.4.0 A04 2021/06/22
Latitude 7410 1.7.0 2021/06/23
Latitude 7420 1.7.1 2021/06/23
Latitude 7520 1.7.1 2021/06/23
Latitude 9410 1.7.0 2021/06/23
Latitude 9420 1.4.1 2021/06/23
Latitude 9510 1.6.0 2021/06/23
Latitude 9520 1.5.2 2021/06/23
Latitude 5421 1.3.0 A03 2021/06/22
OptiPlex 3080 2.1.1 2021/06/23
OptiPlex 3090 UFF 1.2.0 2021/06/23
OptiPlex 3280 多合一 1.7.0 2021/06/23
OptiPlex 5080 1.4.0 2021/06/23
OptiPlex 5090 直立式 1.1.35 2021/06/23
OptiPlex 5490 AIO 1.3.0 2021/06/24
OptiPlex 7080 1.4.0 2021/06/23
OptiPlex 7090 直立式 1.1.35 2021/06/23
OptiPlex 7090 UFF 1.2.0 2021/06/23
OptiPlex 7480 多合一 1.7.0 2021/06/23
OptiPlex 7490 多合一 1.3.0 2021/06/24
OptiPlex 7780 多合一 1.7.0 2021/06/23
Precision 17 M5750 1.8.2 2021/06/09
Precision 3440 1.4.0 2021/06/23
Precision 3450 1.1.35 2021/06/24
Precision 3550 1.6.0 2021/06/23
Precision 3551 1.6.0 2021/06/23
Precision 3560 1.7.1 2021/06/21
Precision 3561 1.3.0 A03 2021/06/22
Precision 3640 1.6.2 2021/06/23
Precision 3650 MT 1.2.0 2021/06/24
Precision 5550 1.8.1 2021/06/23
Precision 5560 1.3.2 2021/06/23
Precision 5760 1.1.3 2021/06/16
Precision 7550 1.8.0 2021/06/23
Precision 7560 1.1.2 2021/06/22
Precision 7750 1.8.0 2021/06/23
Precision 7760 1.1.2 2021/06/22
Vostro 14 5410 2.1.0 A06 2021/06/24
Vostro 15 5510 2.1.0 A06 2021/06/24
Vostro 15 7510 1.0.4 2021/06/23
Vostro 3400 1.6.0 2021/06/23
Vostro 3500 1.6.0 2021/06/23
Vostro 3501 1.6.0 2021/06/23
Vostro 3681 2.4.0 2021/06/23
Vostro 3690 1.0.11 2021/06/24
Vostro 3881 2.4.0 2021/06/23
Vostro 3888 2.4.0 2021/06/23
Vostro 3890 1.0.11 2021/06/24
Vostro 5300 1.7.1 2021/06/23
Vostro 5301 1.8.1 2021/06/23
Vostro 5310 2.1.0 2021/06/23
Vostro 5401 1.7.2 2021/06/23
Vostro 5402 1.5.1 2021/06/23
Vostro 5501 1.7.2 2021/06/23
Vostro 5502 1.5.1 2021/06/23
Vostro 5880 1.4.0 2021/06/23
Vostro 5890 1.0.11 2021/06/24
Vostro 7500 1.8.0 2021/06/23
XPS  13 9305 1.0.8 2021/06/23
XPS 13 二合一 9310 2.3.3 2021/06/23
XPS 13 9310 3.0.0 2021/06/24
XPS 15 9500 1.8.1 2021/06/23
XPS 15 9510 1.3.2 2021/06/23
XPS 17 9700 1.8.2 2021/06/09
XPS 17 9710 1.1.3 2021/06/15

Workarounds and Mitigations

Dell 建議所有客戶儘早更新至最新的 Dell 用戶端 BIOS 版本。如果客戶選擇不立即套用 BIOS 更新,或無法立即執行此動作,則應套用下列緩解措施。

BIOSConnect:

客戶可使用兩個選項的其中一個來停用 BIOSConnect 功能:
選項 1:客戶可從 BIOS 設定頁面 (F2) 停用 BIOSConnect。
注意:客戶可能會在不同的 BIOS 設定功能表介面底下找到 BIOSConnect 選項,視其平台型號而定。以下為 BIOS 設定功能表類型 A 和 BIOS 設定功能表類型 B。
BIOS 設定功能表類型 A:F2 > 更新、復原 > BIOSConnect > 切換至關閉。
BIOS 設定功能表類型 B:F2 > 設定 > SupportAssist 系統解析 > BIOSConnect > 取消勾選 BIOSConnect 選項。
 
選項 2:客戶可利用 Dell Command | Configure (DCC) 的遠端系統管理工具來停用 BIOSConnect BIOS 設定。
 
注意:Dell 建議客戶不要從 F12 執行「BIOS 快閃式記憶體更新 - 遠端」,直到系統更新為已補救的 BIOS 版本。

HTTPS 開機:
客戶可使用兩個選項的其中一個來停用 HTTPS 開機功能:
選項 1:客戶可從 BIOS 設定頁面 (F2) 停用 BIOSConnect。
BIOS 設定功能表類型 A:F2 > 連線 > HTTP(s) 開機 > 切換至關閉。
BIOS 設定功能表類型 B:F2 > 設定 > SupportAssist 系統解析 > BIOSConnect > 取消勾選 BIOSConnect 選項。
選項 2:客戶可利用 Dell Command | Configure (DCC) 的遠端系統管理工具來停用 HTTP 開機支援。

Acknowledgements

Dell 要感謝 Eclypsium 的 Mickey Shkatov 和 Jesse Michael 回報此問題。

Revision History

修訂版日期描述名稱
1.02021/06/24初始版本

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide


Article Properties


Affected Product

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Product

Product Security Information

Last Published Date

15 Sep 2021

Version

5

Article Type

Dell Security Advisory