Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits
  • Gérer vos sites, vos produits et vos contacts au niveau des produits Dell EMC à l’aide de la rubrique Gestion des informations de l’entreprise.

DSA-2021-106:针对 BIOSConnect 和 HTTPS 启动功能中的多个漏洞的戴尔客户端平台安全更新,属于戴尔客户端 BIOS 的一部分

Résumé: 戴尔正在发布影响 BIOSConnect 和 HTTPS 启动功能的多个安全漏洞的补救措施。

Cet article a peut-être été traduit automatiquement. Si vous avez des commentaires concernant sa qualité, veuillez nous en informer en utilisant le formulaire au bas de cette page.

Contenu de l’article


Impact

High

Détails

专有代码 CVE 描述 CVSS 基本分数 CVSS 矢量字符串
CVE-2021-21571 Dell BIOSConnect 功能和 Dell HTTPS 启动功能所利用的 Dell UEFI BIOS https 堆栈包含不正确的证书验证漏洞。未经验证的远程攻击者可能会使用中间人攻击来利用此漏洞,从而导致拒绝服务和有效负载篡改。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect 功能包含缓冲区溢出漏洞。具有系统的本地访问权限并经过验证的恶意管理员用户可能会利用此漏洞运行任意代码并绕过 UEFI 限制。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 和 HTTPS 启动功能的说明:
  • Dell BIOSConnect 功能是一个戴尔启动前解决方案,用于在戴尔客户端平台上使用 SupportAssist OS Recovery 来更新系统 BIOS 和恢复操作系统 (OS)。提醒:BIOSConnect 需要实际存在的用户来启动此功能。只有一部分具有 BIOSConnect 功能的平台受到影响。有关受影响的平台,请参阅下面“其他信息”部分下的表格。
  • Dell HTTPS 启动功能是用于从 HTTP(S) 服务器启动的 UEFI HTTP 引导规范的扩展。提醒:默认情况下,此功能未配置,并且需要具有本地操作系统管理员权限的实际存在的用户进行配置。此外,如果要与无线网络配合使用,需要实际存在的用户来启动该功能。并非所有平台都包含 HTTPS 启动功能。有关受影响平台的列表,请参阅下面“其他信息”部分下的表格。
上述漏洞被报告为漏洞链。漏洞链的累积分数为:8.3 高 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

利用此链需要执行额外步骤:
  • 要利用 BIOSConnect 中的漏洞链,恶意攻击者必须分别执行额外步骤,包括:破坏用户的网络、获取受 Dell UEFI BIOS https 堆栈内置证书颁发机构之一信任的证书,以及等待系统的实际存在的用户使用 BIOSConnect 功能。
  • 要利用 HTTPS 启动中的漏洞,恶意攻击者必须分别执行额外步骤,包括:破坏用户的网络、获取受 Dell UEFI BIOS https 堆栈内置证书颁发机构之一信任的证书,并等待系统中实际存在的用户更改启动顺序并使用 HTTPS 启动功能。
除了应用下面的补救措施,客户还可以通过遵循安全最佳做法来进一步保护自己,即仅使用安全的网络并阻止对设备的未经授权的本地和物理访问。客户还应启用平台安全功能,例如安全启动(在使用 Windows 的戴尔平台上默认启用)和 BIOS 管理员密码,以加强保护措施。

提醒:如果禁用安全启动,可能会影响与 CVE-2021-21571 安全漏洞关联的潜在严重性。
专有代码 CVE 描述 CVSS 基本分数 CVSS 矢量字符串
CVE-2021-21571 Dell BIOSConnect 功能和 Dell HTTPS 启动功能所利用的 Dell UEFI BIOS https 堆栈包含不正确的证书验证漏洞。未经验证的远程攻击者可能会使用中间人攻击来利用此漏洞,从而导致拒绝服务和有效负载篡改。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect 功能包含缓冲区溢出漏洞。具有系统的本地访问权限并经过验证的恶意管理员用户可能会利用此漏洞运行任意代码并绕过 UEFI 限制。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 和 HTTPS 启动功能的说明:
  • Dell BIOSConnect 功能是一个戴尔启动前解决方案,用于在戴尔客户端平台上使用 SupportAssist OS Recovery 来更新系统 BIOS 和恢复操作系统 (OS)。提醒:BIOSConnect 需要实际存在的用户来启动此功能。只有一部分具有 BIOSConnect 功能的平台受到影响。有关受影响的平台,请参阅下面“其他信息”部分下的表格。
  • Dell HTTPS 启动功能是用于从 HTTP(S) 服务器启动的 UEFI HTTP 引导规范的扩展。提醒:默认情况下,此功能未配置,并且需要具有本地操作系统管理员权限的实际存在的用户进行配置。此外,如果要与无线网络配合使用,需要实际存在的用户来启动该功能。并非所有平台都包含 HTTPS 启动功能。有关受影响平台的列表,请参阅下面“其他信息”部分下的表格。
上述漏洞被报告为漏洞链。漏洞链的累积分数为:8.3 高 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

利用此链需要执行额外步骤:
  • 要利用 BIOSConnect 中的漏洞链,恶意攻击者必须分别执行额外步骤,包括:破坏用户的网络、获取受 Dell UEFI BIOS https 堆栈内置证书颁发机构之一信任的证书,以及等待系统的实际存在的用户使用 BIOSConnect 功能。
  • 要利用 HTTPS 启动中的漏洞,恶意攻击者必须分别执行额外步骤,包括:破坏用户的网络、获取受 Dell UEFI BIOS https 堆栈内置证书颁发机构之一信任的证书,并等待系统中实际存在的用户更改启动顺序并使用 HTTPS 启动功能。
除了应用下面的补救措施,客户还可以通过遵循安全最佳做法来进一步保护自己,即仅使用安全的网络并阻止对设备的未经授权的本地和物理访问。客户还应启用平台安全功能,例如安全启动(在使用 Windows 的戴尔平台上默认启用)和 BIOS 管理员密码,以加强保护措施。

提醒:如果禁用安全启动,可能会影响与 CVE-2021-21571 安全漏洞关联的潜在严重性。
Dell Technologies recommande à tous les clients de prendre en compte à la fois le score de base CVSS et les scores temporels et environnementaux pertinents qui peuvent avoir un impact sur la gravité potentielle associée à une faille de sécurité donnée.

Produits concernés et mesure corrective

CVE-2021-21573 和 CVE-2021-21574 于 2021 年 5 月 28 日在戴尔后端服务器上的 BIOSConnect 相关组件中进行了修复,无需额外的客户操作。

CVE-2021-21571 和 CVE-2021-21572 需要进行戴尔客户端 BIOS 更新来解决漏洞。请参阅“其他信息”部分下的表格,以确定要应用于您系统的修正戴尔客户端 BIOS 版本。更新戴尔客户端 BIOS 有多种方法。如果您通常使用 BIOSConnect 更新 BIOS,戴尔建议使用其他方法来应用 BIOS 更新,例如: 对于无法立即应用 BIOS 更新的用户,戴尔还提供临时缓解措施来禁用 BIOSConnect 和 HTTPS 启动功能。请参阅以下部分。
CVE-2021-21573 和 CVE-2021-21574 于 2021 年 5 月 28 日在戴尔后端服务器上的 BIOSConnect 相关组件中进行了修复,无需额外的客户操作。

CVE-2021-21571 和 CVE-2021-21572 需要进行戴尔客户端 BIOS 更新来解决漏洞。请参阅“其他信息”部分下的表格,以确定要应用于您系统的修正戴尔客户端 BIOS 版本。更新戴尔客户端 BIOS 有多种方法。如果您通常使用 BIOSConnect 更新 BIOS,戴尔建议使用其他方法来应用 BIOS 更新,例如: 对于无法立即应用 BIOS 更新的用户,戴尔还提供临时缓解措施来禁用 BIOSConnect 和 HTTPS 启动功能。请参阅以下部分。

以下是受影响的产品和发布日期的列表,以及要应用的最低 BIOS 版本:   
 

产品 BIOS 更新版本
(或更高版本)
支持 BIOSConnect 支持 HTTP(s) 启动 发布日期 (MM/DD/YYYY)
预计发布时间(月/YYYY)
Alienware m15 R6 1.3.3 6/21/2021
ChengMing 3990 1.4.1 6/23/2021
ChengMing 3991 1.4.1 6/23/2021
Dell G15 5510 1.4.0 6/21/2021
Dell G15 5511 1.3.3 6/21/2021
Dell G3 3500 1.9.0 6/24/2021
Dell G5 5500 1.9.0 6/24/2021
Dell G7 7500 1.9.0 6/23/2021
Dell G7 7700 1.9.0 6/23/2021
Inspiron 14 5418 2.1.0 A06 6/24/2021
Inspiron 15 5518 2.1.0 A06 6/24/2021
Inspiron 15 7510 1.0.4 6/23/2021
Inspiron 灵越 3501 1.6.0 6/23/2021
Inspiron 灵越 3880 1.4.1 6/23/2021
Inspiron 灵越 3881 1.4.1 6/23/2021
Inspiron 灵越 3891 1.0.11 6/24/2021
Inspiron 灵越 5300 1.7.1 6/23/2021
Inspiron 灵越 5301 1.8.1 6/23/2021
Inspiron 5310 2.1.0 6/23/2021
Inspiron 5400 二合一 1.7.0 6/23/2021
Inspiron 灵越 5400 AIO 1.4.0 6/23/2021
Inspiron 灵越 5401 1.7.2 6/23/2021
Inspiron 5401 AIO 1.4.0 6/23/2021
Inspiron 灵越 5402 1.5.1 6/23/2021
Inspiron 5406 二合一 1.5.1 6/23/2021
Inspiron 灵越 5408 1.7.2 6/23/2021
Inspiron 灵越 5409 1.5.1 6/23/2021
Inspiron 5410 二合一 2.1.0 6/23/2021
Inspiron 灵越 5501 1.7.2 6/23/2021
Inspiron 灵越 5502 1.5.1 6/23/2021
Inspiron 灵越 5508 1.7.2 6/23/2021
Inspiron 灵越 5509 1.5.1 6/23/2021
Inspiron 灵越 7300 1.8.1 6/23/2021
Inspiron 7300 二合一 1.3.0 6/23/2021
Inspiron 7306 二合一 1.5.1 6/23/2021
Inspiron 灵越 7400 1.8.1 6/23/2021
Inspiron 灵越 7500 1.8.0 6/23/2021
Inspiron 7500 二合一 — 黑色 1.3.0 6/23/2021
Inspiron 7500 二合一 — 银色 1.3.0 6/23/2021
Inspiron 灵越 7501 1.8.0 6/23/2021
Inspiron 7506 二合一 1.5.1 6/23/2021
Inspiron 7610 1.0.4 6/23/2021
Inspiron 7700 AIO 1.4.0 6/23/2021
Inspiron 7706 二合一 1.5.1 6/23/2021
Latitude 3120 1.1.0 6/23/2021
Latitude 3320 1.4.0 6/23/2021
Latitude 3410 1.9.0 6/23/2021
Latitude 3420 1.8.0 6/23/2021
Latitude 3510 1.9.0 6/23/2021
Latitude 3520 1.8.0 6/23/2021
Latitude 5310 1.7.0 6/24/2021
Latitude 5310 二合一 1.7.0 6/24/2021
Latitude 5320 1.7.1 6/21/2021
Latitude 5320 二合一电脑 1.7.1 6/21/2021
Latitude 5410 1.6.0 6/23/2021
Latitude 5411 1.6.0 6/23/2021
Latitude 5420 1.8.0 6/22/2021
Latitude 5510 1.6.0 6/23/2021
Latitude 5511 1.6.0 6/23/2021
Latitude 5520 1.7.1 6/21/2021
Latitude 5521 1.3.0 A03 6/22/2021
Latitude 7210 二合一 1.7.0 6/23/2021
Latitude 7310 1.7.0 6/23/2021
Latitude 7320 1.7.1 6/23/2021
Latitude 7320 可拆卸式电脑 1.4.0 A04 6/22/2021
Latitude 7410 1.7.0 6/23/2021
Latitude 7420 1.7.1 6/23/2021
Latitude 7520 1.7.1 6/23/2021
Latitude 9410 1.7.0 6/23/2021
Latitude 9420 1.4.1 6/23/2021
Latitude 9510 1.6.0 6/23/2021
Latitude 9520 1.5.2 6/23/2021
Latitude 5421 1.3.0 A03 6/22/2021
OptiPlex 3080 2.1.1 6/23/2021
OptiPlex 3090 UFF 1.2.0 6/23/2021
OptiPlex 3280 一体机 1.7.0 6/23/2021
OptiPlex 5080 1.4.0 6/23/2021
OptiPlex 5090 塔式机 1.1.35 6/23/2021
OptiPlex 5490 AIO 1.3.0 6/24/2021
OptiPlex 7080 1.4.0 6/23/2021
OptiPlex 7090 塔式机 1.1.35 6/23/2021
OptiPlex 7090 UFF 1.2.0 6/23/2021
Optiplex 7480 一体机 1.7.0 6/23/2021
OptiPlex 7490 一体机 1.3.0 6/24/2021
OptiPlex 7780 一体机 1.7.0 6/23/2021
Precision 17 M5750 1.8.2 6/9/2021
Precision 3440 1.4.0 6/23/2021
Precision 3450 1.1.35 6/24/2021
Precision 3550 1.6.0 6/23/2021
Precision 3551 1.6.0 6/23/2021
Precision 3560 1.7.1 6/21/2021
Precision 3561 1.3.0 A03 6/22/2021
Precision 3640 1.6.2 6/23/2021
Precision 3650 MT 1.2.0 6/24/2021
Precision 5550 1.8.1 6/23/2021
Precision 5560 1.3.2 6/23/2021
Precision 5760 1.1.3 6/16/2021
Precision 7550 1.8.0 6/23/2021
Precision 7560 1.1.2 6/22/2021
Precision 7750 1.8.0 6/23/2021
Precision 7760 1.1.2 6/22/2021
Vostro 14 5410 2.1.0 A06 6/24/2021
Vostro 15 5510 2.1.0 A06 6/24/2021
Vostro 15 7510 1.0.4 6/23/2021
Vostro 成就 3400 1.6.0 6/23/2021
Vostro 成就 3500 1.6.0 6/23/2021
Vostro 成就 3501 1.6.0 6/23/2021
Vostro 成就 3681 2.4.0 6/23/2021
Vostro 成就 3690 1.0.11 6/24/2021
Vostro 成就 3881 2.4.0 6/23/2021
Vostro 成就 3888 2.4.0 6/23/2021
Vostro 成就 3890 1.0.11 6/24/2021
Vostro 成就 5300 1.7.1 6/23/2021
Vostro 成就 5301 1.8.1 6/23/2021
Vostro 5310 2.1.0 6/23/2021
Vostro 成就 5401 1.7.2 6/23/2021
Vostro 成就 5402 1.5.1 6/23/2021
Vostro 成就 5501 1.7.2 6/23/2021
Vostro 成就 5502 1.5.1 6/23/2021
Vostro 成就 5880 1.4.0 6/23/2021
Vostro 成就 5890 1.0.11 6/24/2021
Vostro 成就 7500 1.8.0 6/23/2021
XPS 13 9305 1.0.8 6/23/2021
XPS 13 二合一 9310 2.3.3 6/23/2021
XPS 13 9310 3.0.0 6/24/2021
XPS 15 9500 1.8.1 6/23/2021
XPS 15 9510 1.3.2 6/23/2021
XPS 17 9700 1.8.2 6/9/2021
XPS 17 9710 1.1.3 6/15/2021

Solutions de contournement et mesures d’atténuation des risques

戴尔建议所有客户尽快更新到最新的戴尔客户端 BIOS 版本。如果客户选择不立即应用或者现在无法应用 BIOS 更新,则应用以下缓解措施。

BIOSConnect:

客户可以使用以下两个选项之一来禁用 BIOSConnect 功能:
选项 1:客户可以从 BIOS 设置页面 (F2) 禁用 BIOSConnect。
提醒:取决于平台型号,客户可能会在不同的 BIOS 设置菜单界面下找到 BIOSConnect 选项。如下所示,有 BIOS 设置菜单类型 A 和 BIOS 设置菜单类型 B。
BIOS 设置菜单类型 A:F2 > Update, Recovery > BIOSConnect > 切换为 Off。
BIOS 设置菜单类型 B:F2 > Settings > SupportAssist System Resolution > BIOSConnect > 取消选中 BIOSConnect 选项。
 
选项 2:客户可以利用 Dell Command | Configure (DCC) 的远程系统管理工具来禁用 BIOSConnect BIOS 设置。
 
提醒:在使用经过修正的 BIOS 版本更新系统之前,戴尔建议客户不要从 F12 运行“BIOS Flash Update - Remote”。

HTTPS 启动:
客户可以使用以下两个选项之一来禁用 HTTPS 启动功能:
选项 1:客户可以从 BIOS 设置页面 (F2) 禁用 BIOSConnect。
BIOS 设置菜单类型 A:F2 > Connection > HTTP(s) Boot > 切换为 Off。
BIOS 设置菜单类型 B:F2 > Settings > SupportAssist System Resolution > BIOSConnect > 取消选中 BIOSConnect 选项。
选项 2:客户可以利用 Dell Command | Configure (DCC) 的远程系统管理工具来禁用 HTTP 启动支持。

Remerciements

戴尔感谢 Eclypsium 的 Ickey Shkatov 和 MicerMiel 报告了此问题。

Historique des révisions

版本日期描述
1.02021-06-24初版

Informations connexes


Propriétés de l’article


Produit concerné

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Produit

Product Security Information

Dernière date de publication

15 sept. 2021

Version

5

Type d’article

Dell Security Advisory