DSA-2019-028: Múltiples vulnerabilidades de iDRAC de Dell Technologies
Resumen: Se actualizó iDRAC de Dell Technologies para abordar múltiples vulnerabilidades que podrían aprovecharse para comprometer los sistemas afectados.
Síntomas
ID de DSA: Identificador CVE DSA-2019-028
: Gravedad de CVE-2019-3705, CVE-2019-3706 y CVE-2019-3707
: Clasificación de gravedad alta
: Consulte la sección Detalles a continuación de las puntuaciones individuales de CVSS para cada CVE.
Productos afectados:
- Versiones de iDRAC6 de Dell Technologies anteriores a 2.92 (CVE-2019-3705)
- Versiones de Dell Technologies iDRAC7/iDRAC8 anteriores a 2.61.60.60 (CVE-2019-3705)
- Versiones de iDRAC9 de Dell Technologies anteriores a 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 y CVE-2019-3707)
Causa
Detalles:
- Vulnerabilidad de desbordamiento de buffer (CVE-2019-3705)
Puntuación base de CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Vulnerabilidad de omisión de autenticación de interfaz web (CVE-2019-3706)
Puntuación base de CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Vulnerabilidad de omisión de autenticación de WS-MAN (CVE-2019-3707)
Resolución
Las siguientes versiones de firmware de iDRAC de Dell Technologies contienen soluciones para estas vulnerabilidades:
|
iDRAC |
Versión de firmware de iDRAC |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2.92 |
Dell Technologies recomienda que todos los clientes actualicen lo antes posible.
Prácticas recomendadas de Dell con respecto a iDRAC:
Además de mantener actualizado el firmware de iDRAC, Dell también aconseja lo siguiente:
- Las iDRAC no están diseñadas ni destinadas a ser colocadas ni conectadas a Internet; Están diseñados para estar en una red de administración independiente. Colocar o conectar iDRAC directamente a Internet podría exponer el sistema conectado a riesgos de seguridad y otros riesgos de los cuales Dell no es responsable.
- Además de ubicar las iDRAC en una subred de administración separada, los usuarios deben aislar la subred de administración/vLAN con tecnologías como firewalls y limitar el acceso a la subred/vLAN a los administradores de servidor autorizados.
- Dell Technologies recomienda que los clientes consideren cualquier factor de implementación que pueda ser relevante para su entorno a fin de evaluar su riesgo general.
Enlace a soluciones:
Los clientes pueden descargar el firmware de iDRAC para servidores PowerEdge. Para todas las demás plataformas, seleccione la plataforma en el sitio de soporte de Dell.
Dell Technologies recomienda que todos los usuarios determinen la aplicabilidad de esta información a sus situaciones individuales y tomen las medidas adecuadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell renuncia a todas las garantías, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un fin determinado, título y ausencia de infracción. En ningún caso Dell ni sus proveedores serán responsables de daños, incluidos daños directos, indirectos, casuales y consecuentes, ni pérdida de ganancias comerciales o daños especiales, incluso si a Dell o sus proveedores se les advirtió acerca de la posibilidad de que tales daños ocurran. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.