DSA-2019-040: Dell EMC VxRack Flex Security Update for Multiple Hardware Appliance Firmware Vulnerabilities


alert-notice

Medium

Publicado por primera vez: 25 FEB. 2019
Última actualización:   17 SEP. 2020

Identificador(es) de CVE

Descripción general

Clasificación de gravedad (puntuación base de CVSS)

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Summary:  
Dell EMC iDRAC (Integrated Dell Remote Access Controller) in VxRACK Flex, requires a security update to address multiple vulnerabilities.

Detalles

  • Privilege Escalation Vulnerability

CVE-2018-15774

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 and iDRAC9 versions prior to 3.20.21.20, 3.21.24.22, 3.21.26.22, and 3.23.23.23 contain a privilege escalation vulnerability. An authenticated malicious iDRAC user with operator privileges may potentially exploit a permissions check flaw in the Redfish interface to gain administrator access.

  • Improper Error Handling Vulnerability

CVE-2018-15776

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 contain an improper error handling vulnerability. An unauthenticated attacker with physical access to the system may potentially exploit this vulnerability to get access to the u-boot shell.

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Filled_Alert_Notice_Symbol   Descargo de responsabilidad de gravedad

Para obtener una explicación de las calificaciones de gravedad, consulte el artículo de la base de conocimientos de Dell EMC 468307. Dell EMC recomienda que todos los clientes tengan en cuenta la puntuación base y cualquier puntuación temporal y ambiental relevante que pueda afectar a la gravedad potencial asociada con una vulnerabilidad de seguridad en particular.

Recomendaciones

Affected products:  
Dell EMC VxRACK Flex system RCM releases 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1
Dell EMC VxRACK Flex system RCM releases 3.2.1 to 3.2.7
Dell EMC VxRACK Flex system RCM releases 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4

Remediation:
The following Dell EMC VxRack System Flex releases address these issues: 

  • For customers who are on RCMs 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1, upgrade to RCM 3.0.13.1

  • For customers who are on RCMs 3.2.1 to 3.2.7, upgrade to RCM 3.2.7.1

  • For customers who are on RCMs 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4, upgrade to RCM 3.3.4.1

 Dell EMC recommends all customers upgrade at the earliest opportunity.

Customers can download software and firmware updates from Dell EMC Online Support at https://cpsdocs.dellemc.com/rcm/#/home.

Lea y use la información de este asesoramiento de seguridad de Dell EMC para ayudar a evitar cualquier situación que pueda surgir de los problemas descritos en este documento. Si tiene alguna pregunta relacionada con esta alerta de producto, comuníquese con el soporte técnico de Dell EMC Software al 1-877-534-2867. Dell EMC distribuye los asesoramientos de seguridad de Dell EMC con el fin de informar a los usuarios acerca de los productos Dell EMC afectados lo cual es una información de seguridad importante. Dell EMC recomienda que todos los usuarios determinen la aplicabilidad de esta información en función de sus situaciones individuales y que adopten las medidas adecuadas. La información que se incluye en este documento se proporciona "tal cual es", sin garantía de ningún tipo. Dell EMC no se hace responsable de ninguna garantía, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un propósito determinado, título y de no violación. En ningún caso, Dell EMC o sus proveedores serán responsables de los daños que se deriven de cualquier daño, incluso los beneficios directos, indirectos, incidentales, resultantes, la pérdida de ganancias comerciales o los daños especiales, incluso si Dell EMC o sus proveedores se han informado sobre la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o incidentales, por lo que es posible que la limitación anterior no se aplique.