DSA-2021-106:DellクライアントBIOSの一部としてのBIOSConnectおよびHTTPS Boot機能における複数の脆弱性に対するDellクライアント プラットフォーム セキュリティ アップデート
概要: Dellは、BIOSConnectおよびHTTPS Boot機能に影響を与える複数のセキュリティ脆弱性に対する修復をリリースしています。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
影響
High
詳細
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
| CVE-2021-21571 | Dell BIOSConnect機能とDell HTTPS Boot機能によって活用されるDell UEFI BIOS HTTPSスタックには、不適切な証明書検証の脆弱性が含まれています。リモートの認証されていない攻撃者が中間者攻撃を使用してこの脆弱性を悪用し、サービス妨害やペイロードの改ざんにつながる可能性があります。 | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H |
| CVE-2021-21572、 CVE-2021-21573、 CVE-2021-21574 |
Dell BIOSConnect機能には、バッファー オーバーフローの脆弱性が含まれています。システムへのローカル アクセス権を持つ認証済みの悪意のある管理者ユーザーは、この脆弱性を悪用して任意のコードを実行し、UEFI制限をバイパスする可能性があります。 | 7.2 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
Dell BIOSConnectおよびHTTPS Boot機能の説明:
- Dell BIOSConnect機能は、Dellクライアント プラットフォームでSupportAssist OS Recoveryを使用して、システムBIOSをアップデートし、オペレーティング システム(OS)を回復するために使用されるDellの起動前ソリューションです。注:BIOSConnectでは、この機能を開始するために物理的に存在するユーザーが必要です。影響を受けるのは、BIOSConnect機能を備えたプラットフォームの一部のみです。影響を受けるプラットフォームについては、以下の「その他の情報」セクションの表を参照してください。
- Dell HTTPS Boot機能は、HTTP(S)サーバーから起動するためのUEFI HTTPS Boot仕様の拡張機能です。注:この機能はデフォルトでは設定されていないため、ローカルOS管理者権限を持つ物理的に存在するユーザーが構成する必要があります。さらに、ワイヤレス ネットワークで使用する場合は、物理的に存在するユーザーが機能を開始する必要があります。HTTPS Boot機能はすべてのプラットフォームに含まれているわけではありません。影響を受けるプラットフォームのリストについては、以下の「その他の情報」セクションの表を参照してください。
チェーンを悪用するには、次の追加の手順が必要です。
- BIOSConnectの脆弱性チェーンを悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局のいずれかで信頼されている証明書を取得し、システムに物理的に存在するユーザーがBIOSConnect機能を使用するのを待つなど、悪用を成功させる前に別の手順を実行する必要があります。
- HTTPS Bootの脆弱性を悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局によって信頼されている証明書を取得し、システムに物理的に存在するユーザーが起動順序を変更してHTTPS Boot機能を使用するのを待つなど、悪用を成功させる前に追加の手順を個別に実行する必要があります。
メモ:セキュア ブートが無効になっている場合、CVE-2021-21571セキュリティ脆弱性に関連する潜在的な重大度に影響を与える可能性があります。
| 専用コードCVE | 説明 | CVSS基本スコア | CVSS Vector文字列 |
| CVE-2021-21571 | Dell BIOSConnect機能とDell HTTPS Boot機能によって活用されるDell UEFI BIOS HTTPSスタックには、不適切な証明書検証の脆弱性が含まれています。リモートの認証されていない攻撃者が中間者攻撃を使用してこの脆弱性を悪用し、サービス妨害やペイロードの改ざんにつながる可能性があります。 | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H |
| CVE-2021-21572、 CVE-2021-21573、 CVE-2021-21574 |
Dell BIOSConnect機能には、バッファー オーバーフローの脆弱性が含まれています。システムへのローカル アクセス権を持つ認証済みの悪意のある管理者ユーザーは、この脆弱性を悪用して任意のコードを実行し、UEFI制限をバイパスする可能性があります。 | 7.2 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
Dell BIOSConnectおよびHTTPS Boot機能の説明:
- Dell BIOSConnect機能は、Dellクライアント プラットフォームでSupportAssist OS Recoveryを使用して、システムBIOSをアップデートし、オペレーティング システム(OS)を回復するために使用されるDellの起動前ソリューションです。注:BIOSConnectでは、この機能を開始するために物理的に存在するユーザーが必要です。影響を受けるのは、BIOSConnect機能を備えたプラットフォームの一部のみです。影響を受けるプラットフォームについては、以下の「その他の情報」セクションの表を参照してください。
- Dell HTTPS Boot機能は、HTTP(S)サーバーから起動するためのUEFI HTTPS Boot仕様の拡張機能です。注:この機能はデフォルトでは設定されていないため、ローカルOS管理者権限を持つ物理的に存在するユーザーが構成する必要があります。さらに、ワイヤレス ネットワークで使用する場合は、物理的に存在するユーザーが機能を開始する必要があります。HTTPS Boot機能はすべてのプラットフォームに含まれているわけではありません。影響を受けるプラットフォームのリストについては、以下の「その他の情報」セクションの表を参照してください。
チェーンを悪用するには、次の追加の手順が必要です。
- BIOSConnectの脆弱性チェーンを悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局のいずれかで信頼されている証明書を取得し、システムに物理的に存在するユーザーがBIOSConnect機能を使用するのを待つなど、悪用を成功させる前に別の手順を実行する必要があります。
- HTTPS Bootの脆弱性を悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局によって信頼されている証明書を取得し、システムに物理的に存在するユーザーが起動順序を変更してHTTPS Boot機能を使用するのを待つなど、悪用を成功させる前に追加の手順を個別に実行する必要があります。
メモ:セキュア ブートが無効になっている場合、CVE-2021-21571セキュリティ脆弱性に関連する潜在的な重大度に影響を与える可能性があります。
影響を受ける製品と修復
CVE-2021-21573およびCVE-2021-21574は、2021年5月28日にDellのバックエンド サーバー上のBIOSConnect関連コンポーネントで修正されました。追加のお客様のアクションは必要ありません。
CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。
CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。
- Dellの通知ソリューションのいずれかを使用して、BIOSアップデートが利用可能になると通知を受け取り自動的にダウンロードします。
- 該当製品のアップデートについては、[ドライバーおよびダウンロード]サイトを参照してください。詳細についてはデルのナッレジ ベース文書「デルBIOSアップデート」を参照して、お使いのデル コンピューターのアップデートをダウンロードしてください。
- 「F12 One-Time Boot MenuからのBIOSのフラッシュ」を参照してください。
CVE-2021-21573およびCVE-2021-21574は、2021年5月28日にDellのバックエンド サーバー上のBIOSConnect関連コンポーネントで修正されました。追加のお客様のアクションは必要ありません。
CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。
CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。
- Dellの通知ソリューションのいずれかを使用して、BIOSアップデートが利用可能になると通知を受け取り自動的にダウンロードします。
- 該当製品のアップデートについては、[ドライバーおよびダウンロード]サイトを参照してください。詳細についてはデルのナッレジ ベース文書「デルBIOSアップデート」を参照して、お使いのデル コンピューターのアップデートをダウンロードしてください。
- 「F12 One-Time Boot MenuからのBIOSのフラッシュ」を参照してください。
影響を受ける製品とリリース日、および適用される最小BIOSバージョンのリストを次に示します。
| 製品 | BIOSアップデート バージョン (以降) |
BIOSConnectをサポート | HTTP(S)Bootをサポート | リリース日(MM/DD/YYYY) 予定リリース(月/YYYY) |
| Alienware m15 R6 | 1.3.3 | はい | はい | 2021年6月21日 |
| ChengMing 3990 | 1.4.1 | はい | No | 2021年6月23日 |
| ChengMing 3991 | 1.4.1 | はい | No | 2021年6月23日 |
| Dell G15 5510 | 1.4.0 | はい | はい | 2021年6月21日 |
| Dell G15 5511 | 1.3.3 | はい | はい | 2021年6月21日 |
| Dell G3 3500 | 1.9.0 | はい | No | 2021年6月24日 |
| Dell G5 5500 | 1.9.0 | はい | No | 2021年6月24日 |
| Dell G7 7500 | 1.9.0 | はい | No | 2021年6月23日 |
| Dell G7 7700 | 1.9.0 | はい | No | 2021年6月23日 |
| Inspiron 14 5418 | 2.1.0 A06 | はい | はい | 2021年6月24日 |
| Inspiron 15 5518 | 2.1.0 A06 | はい | はい | 2021年6月24日 |
| Inspiron 15 7510 | 1.0.4 | はい | はい | 2021年6月23日 |
| Inspiron 3501 | 1.6.0 | はい | No | 2021年6月23日 |
| Inspiron 3880 | 1.4.1 | はい | No | 2021年6月23日 |
| Inspiron 3881 | 1.4.1 | はい | No | 2021年6月23日 |
| Inspiron 3891 | 1.0.11 | はい | はい | 2021年6月24日 |
| Inspiron 5300 | 1.7.1 | はい | No | 2021年6月23日 |
| Inspiron 5301 | 1.8.1 | はい | No | 2021年6月23日 |
| Inspiron 5310 | 2.1.0 | はい | はい | 2021年6月23日 |
| Inspiron 5400 2-in-1 | 1.7.0 | はい | No | 2021年6月23日 |
| Inspiron 5400 AIO | 1.4.0 | はい | No | 2021年6月23日 |
| Inspiron 5401 | 1.7.2 | はい | No | 2021年6月23日 |
| Inspiron 5401 AIO | 1.4.0 | はい | No | 2021年6月23日 |
| Inspiron 5402 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 5406 2-in-1 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 5408 | 1.7.2 | はい | No | 2021年6月23日 |
| Inspiron 5409 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 5410 2-in-1 | 2.1.0 | はい | はい | 2021年6月23日 |
| Inspiron 5501 | 1.7.2 | はい | No | 2021年6月23日 |
| Inspiron 5502 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 5508 | 1.7.2 | はい | No | 2021年6月23日 |
| Inspiron 5509 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 7300 | 1.8.1 | はい | No | 2021年6月23日 |
| Inspiron 7300 2-in-1 | 1.3.0 | はい | No | 2021年6月23日 |
| Inspiron 7306 2-in-1 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 7400 | 1.8.1 | はい | No | 2021年6月23日 |
| Inspiron 7500 | 1.8.0 | はい | No | 2021年6月23日 |
| Inspiron 7500 2-in-1 - 黒 | 1.3.0 | はい | No | 2021年6月23日 |
| Inspiron 7500 2-in-1 - シルバー | 1.3.0 | はい | No | 2021年6月23日 |
| Inspiron 7501 | 1.8.0 | はい | No | 2021年6月23日 |
| Inspiron 7506 2-in-1 | 1.5.1 | はい | No | 2021年6月23日 |
| Inspiron 7610 | 1.0.4 | はい | はい | 2021年6月23日 |
| Inspiron 7700 AIO | 1.4.0 | はい | No | 2021年6月23日 |
| Inspiron 7706 2-in-1 | 1.5.1 | はい | No | 2021年6月23日 |
| Latitude 3120 | 1.1.0 | はい | No | 2021年6月23日 |
| Latitude 3320 | 1.4.0 | はい | はい | 2021年6月23日 |
| Latitude 3410 | 1.9.0 | はい | No | 2021年6月23日 |
| Latitude 3420 | 1.8.0 | はい | No | 2021年6月23日 |
| Latitude 3510 | 1.9.0 | はい | No | 2021年6月23日 |
| Latitude 3520 | 1.8.0 | はい | No | 2021年6月23日 |
| Latitude 5310 | 1.7.0 | はい | No | 2021年6月24日 |
| Latitude 5310 2-in-1 | 1.7.0 | はい | No | 2021年6月24日 |
| Latitude 5320 | 1.7.1 | はい | はい | 2021年6月21日 |
| Latitude 5320 2-in-1 | 1.7.1 | はい | はい | 2021年6月21日 |
| Latitude 5410 | 1.6.0 | はい | No | 2021年6月23日 |
| Latitude 5411 | 1.6.0 | はい | No | 2021年6月23日 |
| Latitude 5420 | 1.8.0 | はい | はい | 2021年6月22日 |
| Latitude 5510 | 1.6.0 | はい | No | 2021年6月23日 |
| Latitude 5511 | 1.6.0 | はい | No | 2021年6月23日 |
| Latitude 5520 | 1.7.1 | はい | はい | 2021年6月21日 |
| Latitude 5521 | 1.3.0 A03 | はい | はい | 2021年6月22日 |
| Latitude 7210 2-in-1 | 1.7.0 | はい | No | 2021年6月23日 |
| Latitude 7310 | 1.7.0 | はい | No | 2021年6月23日 |
| Latitude 7320 | 1.7.1 | はい | はい | 2021年6月23日 |
| Latitude 7320 Detachable | 1.4.0 A04 | はい | はい | 2021年6月22日 |
| Latitude 7410 | 1.7.0 | はい | No | 2021年6月23日 |
| Latitude 7420 | 1.7.1 | はい | はい | 2021年6月23日 |
| Latitude 7520 | 1.7.1 | はい | はい | 2021年6月23日 |
| Latitude 9410 | 1.7.0 | はい | No | 2021年6月23日 |
| Latitude 9420 | 1.4.1 | はい | はい | 2021年6月23日 |
| Latitude 9510 | 1.6.0 | はい | No | 2021年6月23日 |
| Latitude 9520 | 1.5.2 | はい | はい | 2021年6月23日 |
| Latitude 5421 | 1.3.0 A03 | はい | はい | 2021年6月22日 |
| OptiPlex 3080 | 2.1.1 | はい | No | 2021年6月23日 |
| OptiPlex 3090 UFF | 1.2.0 | はい | はい | 2021年6月23日 |
| OptiPlex 3280 All-in-One | 1.7.0 | はい | No | 2021年6月23日 |
| OptiPlex 5080 | 1.4.0 | はい | No | 2021年6月23日 |
| OptiPlex 5090 Tower | 1.1.35 | はい | はい | 2021年6月23日 |
| OptiPlex 5490 AIO | 1.3.0 | はい | はい | 2021年6月24日 |
| OptiPlex 7080 | 1.4.0 | はい | No | 2021年6月23日 |
| OptiPlex 7090 Tower | 1.1.35 | はい | はい | 2021年6月23日 |
| OptiPlex 7090 UFF | 1.2.0 | はい | はい | 2021年6月23日 |
| OptiPlex 7480 All-in-One | 1.7.0 | はい | No | 2021年6月23日 |
| OptiPlex 7490 All-in-One | 1.3.0 | はい | はい | 2021年6月24日 |
| OptiPlex 7780 All-in-One | 1.7.0 | はい | No | 2021年6月23日 |
| Precision 17 M5750 | 1.8.2 | はい | No | 2021年6月09日 |
| Precision 3440 | 1.4.0 | はい | No | 2021年6月23日 |
| Precision 3450 | 1.1.35 | はい | はい | 2021年6月24日 |
| Precision 3550 | 1.6.0 | はい | No | 2021年6月23日 |
| Precision 3551 | 1.6.0 | はい | No | 2021年6月23日 |
| Precision 3560 | 1.7.1 | はい | はい | 2021年6月21日 |
| Dell Precision 3561 | 1.3.0 A03 | はい | はい | 2021年6月22日 |
| Precision 3640 | 1.6.2 | はい | No | 2021年6月23日 |
| Dell Precision 3650 MT | 1.2.0 | はい | はい | 2021年6月24日 |
| Precision 5550 | 1.8.1 | はい | No | 2021年6月23日 |
| Dell Precision 5560 | 1.3.2 | はい | はい | 2021年6月23日 |
| Precision 5760 | 1.1.3 | はい | はい | 2021年6月16日 |
| Precision 7550 | 1.8.0 | はい | No | 2021年6月23日 |
| Precision 7560 | 1.1.2 | はい | はい | 2021年6月22日 |
| Precision 7750 | 1.8.0 | はい | No | 2021年6月23日 |
| Precision 7760 | 1.1.2 | はい | はい | 2021年6月22日 |
| Vostro 14 5410 | 2.1.0 A06 | はい | はい | 2021年6月24日 |
| Vostro 15 5510 | 2.1.0 A06 | はい | はい | 2021年6月24日 |
| Vostro 15 7510 | 1.0.4 | はい | はい | 2021年6月23日 |
| Vostro 3400 | 1.6.0 | はい | No | 2021年6月23日 |
| Vostro 3500 | 1.6.0 | はい | No | 2021年6月23日 |
| Vostro 3501 | 1.6.0 | はい | No | 2021年6月23日 |
| Vostro 3681 | 2.4.0 | はい | No | 2021年6月23日 |
| Vostro 3690 | 1.0.11 | はい | はい | 2021年6月24日 |
| Vostro 3881 | 2.4.0 | はい | No | 2021年6月23日 |
| Vostro 3888 | 2.4.0 | はい | No | 2021年6月23日 |
| Vostro 3890 | 1.0.11 | はい | はい | 2021年6月24日 |
| Vostro 5300 | 1.7.1 | はい | No | 2021年6月23日 |
| Vostro 5301 | 1.8.1 | はい | No | 2021年6月23日 |
| Vostro 5310 | 2.1.0 | はい | はい | 2021年6月23日 |
| Vostro 5401 | 1.7.2 | はい | No | 2021年6月23日 |
| Vostro 5402 | 1.5.1 | はい | No | 2021年6月23日 |
| Vostro 5501 | 1.7.2 | はい | No | 2021年6月23日 |
| Vostro 5502 | 1.5.1 | はい | No | 2021年6月23日 |
| Vostro 5880 | 1.4.0 | はい | No | 2021年6月23日 |
| Vostro 5890 | 1.0.11 | はい | はい | 2021年6月24日 |
| Vostro 7500 | 1.8.0 | はい | No | 2021年6月23日 |
| XPS 13 9305 | 1.0.8 | はい | No | 2021年6月23日 |
| XPS 13 2-in-1 9310 | 2.3.3 | はい | No | 2021年6月23日 |
| XPS 13 9310 | 3.0.0 | はい | No | 2021年6月24日 |
| XPS 15 9500 | 1.8.1 | はい | No | 2021年6月23日 |
| XPS 15 9510 | 1.3.2 | はい | はい | 2021年6月23日 |
| XPS 17 9700 | 1.8.2 | はい | No | 2021年6月09日 |
| XPS 17 9710 | 1.1.3 | はい | はい | 2021年6月15日 |
回避策と緩和策
Dellでは、できるだけ早く最新のDellクライアントBIOSバージョンにアップデートすることをすべてのお客様にお勧めします。BIOSアップデートをすぐに適用しないことを選択したお客様や今すぐ適用できないお客様は、以下の緩和策を適用する必要があります。
BIOSConnect:
お客様は、次の2つのオプションのいずれかを使用してBIOSConnect機能を無効にすることができます。
オプション1: お客様は、BIOSセットアップ ページ(F2)からBIOSConnectを無効にすることができます。
注:お客様のプラットフォーム モデルに応じて、異なるBIOSセットアップ メニュー インターフェイスの下にBIOSConnectオプションが表示される場合があります。以下に、BIOSセットアップ メニュー タイプAとBIOSセットアップ メニュー タイプBを示します。
BIOSセットアップ メニュー タイプA:F2>[Update]、[Recovery]>[BIOSConnect]>オフに切り替えます。
BIOSセットアップ メニュー タイプB:F2>[Settings]>[SupportAssist System Resolution]>[BIOSConnect]>[BIOSConnect]オプションのチェックを外します。
オプション2: BIOSConnect BIOS設定を無効にするには、お客様はDell Command | Configure(DCC)のリモート システム管理ツールを活用できます。
注:システムが修正されたバージョンのBIOSでアップデートされるまで、F12から[BIOS Flash Update - Remote]を実行しないことをお客様にお勧めします。
HTTPS Boot:
お客様は、次の2つのオプションのいずれかを使用してHTTPS Boot機能を無効にすることができます。
オプション1: お客様は、BIOSセットアップ ページ(F2)からBIOSConnectを無効にすることができます。
BIOSセットアップ メニュー タイプA:F2>[Connection]>[HTTP(s) Boot]>オフに切り替えます。
BIOSセットアップ メニュー タイプB:F2>[Settings]>[SupportAssist System Resolution]>[BIOSConnect]>[BIOSConnect]オプションのチェックを外します。
オプション2: HTTPS Bootサポートを無効にするには、お客様はDell Command | Configure(DCC)のリモート システム管理ツールを活用できます。
変更履歴
| リビジョン | 日付 | 説明 |
| 1.0 | 2021年6月24日 | イニシャルリリース |
確認
Dellは、この問題を報告してくださったEclypsium社のMikey ShkatovさんとJesse Michaelさんにお礼申し上げます。
関連情報
法的免責事項
対象製品
Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS製品
Product Security Information文書のプロパティ
文書番号: 000188682
文書の種類: Dell Security Advisory
最終更新: 05 11月 2025
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。