DSA-2019-040: Dell EMC VxRack Flex Security Update for Multiple Hardware Appliance Firmware Vulnerabilities


alert-notice

Medium

Ensimmäinen julkaisu: 25 HELMI 2019
Päivitetty viimeksi:   17 SYYS 2020

CVE-tunnukset

Yleiskatsaus

Vakavuusluokitus (CVSS-pistemäärä)

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Summary:  
Dell EMC iDRAC (Integrated Dell Remote Access Controller) in VxRACK Flex, requires a security update to address multiple vulnerabilities.

Tiedot

  • Privilege Escalation Vulnerability

CVE-2018-15774

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 and iDRAC9 versions prior to 3.20.21.20, 3.21.24.22, 3.21.26.22, and 3.23.23.23 contain a privilege escalation vulnerability. An authenticated malicious iDRAC user with operator privileges may potentially exploit a permissions check flaw in the Redfish interface to gain administrator access.

  • Improper Error Handling Vulnerability

CVE-2018-15776

Dell EMC iDRAC7/iDRAC8 versions prior to 2.61.60.60 contain an improper error handling vulnerability. An unauthenticated attacker with physical access to the system may potentially exploit this vulnerability to get access to the u-boot shell.

See NVD (http://nvd.nist.gov/) for individual scores for each CVE

Filled_Alert_Notice_Symbol   Vakavuuden vastuuvapauslauseke

Lisätietoja vakavuusluokituksista on Dell EMC:n tietämyskannan artikkelissa 468307. Dell EMC suosittelee, että kaikki asiakkaat ottavat huomioon sekä peruspistemäärän että kaikki asiaankuuluvat väliaikaiset ja ympäristöön liittyvät pisteet, jotka voivat vaikuttaa tietyn tietoturvahaavoittuvuuden mahdolliseen vakavuuteen.

Suositukset

Affected products:  
Dell EMC VxRACK Flex system RCM releases 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1
Dell EMC VxRACK Flex system RCM releases 3.2.1 to 3.2.7
Dell EMC VxRACK Flex system RCM releases 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4

Remediation:
The following Dell EMC VxRack System Flex releases address these issues: 

  • For customers who are on RCMs 3.0.8 to 3.0.11, 3.0.12.0, and 3.0.12.1, upgrade to RCM 3.0.13.1

  • For customers who are on RCMs 3.2.1 to 3.2.7, upgrade to RCM 3.2.7.1

  • For customers who are on RCMs 3.3.1, 3.3.2, 3.3.3.0, 3.3.3.1, and 3.3.4, upgrade to RCM 3.3.4.1

 Dell EMC recommends all customers upgrade at the earliest opportunity.

Customers can download software and firmware updates from Dell EMC Online Support at https://cpsdocs.dellemc.com/rcm/#/home.

Lue tämän Dell EMC:n tietoturvatiedotteen tiedot ja sovella niitä niiden tilanteiden välttämiseksi, joita saattaa syntyä tässä kuvatuista ongelmista. Jos sinulla on kysyttävää tästä tuoteilmoituksesta, ota yhteyttä Dell EMC -ohjelmiston teknisen tuen numeroon 1-877-534-2867. Dell EMC jakelee Dell EMC -tietoturvatiedotteita, jotta Dell EMC -tuotteiden käyttäjien tietoon voidaan saattaa tärkeitä tietoturvatietoja. Dell EMC suosittelee, että kaikki käyttäjät arvioivat näiden tietojen sovellettavuuden omiin tilanteisiinsa ja ryhtyvät asianmukaisiin toimiin. Tässä esitetyt tiedot annetaan "sellaisenaan" ilman minkäänlaista takuuta. Dell EMC kiistää kaikki suorat tai epäsuorat takuut, mukaan lukien takuut soveltuvuudesta kaupankäynnin kohteeksi, sopivuudesta tiettyyn käyttötarkoitukseen, omistusoikeudesta ja loukkaamattomuudesta. Dell EMC tai sen toimittajat eivät missään tapauksessa ole vastuussa mistään vahingoista, kuten suorista, epäsuorista, satunnaisista, seuraamuksellisista, liikevoiton menetyksistä tai erityisistä vahingoista, vaikka Dell EMC:lle tai sen toimittajille olisi ilmoitettu tällaisten vahinkojen mahdollisuudesta. Jotkin osavaltiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, joten edellä mainittua rajoitusta ei välttämättä sovelleta.