문서 번호: 177335


DSA-2020-128: iDRAC Local File Inclusion Vulnerability

요약: DSA-2020-128: iDRAC Local File Inclusion Vulnerability - CVE-2020-5366

문서 콘텐츠


영향

High

세부 정보
  • Improper Limitation of a Pathname to a Restricted Directory ("Path Traversal")

Dell EMC iDRAC9 versions prior to 4.20.20.20 contain a Path Traversal Vulnerability. A remote authenticated malicious user with low privileges could potentially exploit this vulnerability by manipulating input parameters to gain unauthorized read access to the arbitrary files.

  • Improper Limitation of a Pathname to a Restricted Directory ("Path Traversal")

Dell EMC iDRAC9 versions prior to 4.20.20.20 contain a Path Traversal Vulnerability. A remote authenticated malicious user with low privileges could potentially exploit this vulnerability by manipulating input parameters to gain unauthorized read access to the arbitrary files.

Dell Technologies는 모든 고객이 CVSS 기본 점수와 관련 임시 및 환경 점수를 모두 고려할 것을 권장합니다. 이 경우 특정 보안 취약성과 관련된 잠재적인 심각도에 영향을 미칠 수 있습니다.

영향을 받는 제품 및 문제 해결

Affected products:

  • Dell EMC iDRAC9 versions prior to 4.20.20.20

Resolution:   
The following Dell EMC iDRAC firmware releases contain resolutions to these vulnerabilities:

iDRAC iDRAC firmware version
iDRAC9 4.20.20.20

Note: Available as of the publication date.

Dell EMC recommends all customers upgrade at the earliest opportunity. 


Dell EMC Best Practices regarding iDRAC:

  • The iDRAC is intended to be on a separate management network. The iDRAC is not designed nor intended to be placed on, nor connected directly to the Internet. Doing so could expose the connected system to security and other risks for which Dell EMC is not responsible.
  • Dell EMC recommends using the Dedicated Gigabit Ethernet port available on rack and tower servers to connect the iDRAC to a separate management network.
  • Along with locating iDRAC on a separate management network, users should isolate the management subnet/vLAN with technologies such as firewalls, and limit access to the subnet/vLAN to authorized server administrators.
  • Dell EMC recommends using 256-bit encryption strength as well as TLS 1.2 or higher. For tighter control, additional ciphers may be removed via "Cipher Select" – see the iDRAC User Guide for more details. 
  • Dell EMC recommends additional settings such as IP range filtering and System Lockdown Mode. 
  • Dell EMC recommends using additional security authentication options such as Microsoft Active Directory or LDAP.
  • Dell EMC recommends keeping iDRAC firmware up to date.

Customers can download software, including the latest release of iDRAC firmware, from the Dell Support site.
https://www.dell.com/support/home/
Customers can find the iDRAC documentation from the Dell EMC Support site.
www.dell.com/idracmanuals

Affected products:

  • Dell EMC iDRAC9 versions prior to 4.20.20.20

Resolution:   
The following Dell EMC iDRAC firmware releases contain resolutions to these vulnerabilities:

iDRAC iDRAC firmware version
iDRAC9 4.20.20.20

Note: Available as of the publication date.

Dell EMC recommends all customers upgrade at the earliest opportunity. 


Dell EMC Best Practices regarding iDRAC:

  • The iDRAC is intended to be on a separate management network. The iDRAC is not designed nor intended to be placed on, nor connected directly to the Internet. Doing so could expose the connected system to security and other risks for which Dell EMC is not responsible.
  • Dell EMC recommends using the Dedicated Gigabit Ethernet port available on rack and tower servers to connect the iDRAC to a separate management network.
  • Along with locating iDRAC on a separate management network, users should isolate the management subnet/vLAN with technologies such as firewalls, and limit access to the subnet/vLAN to authorized server administrators.
  • Dell EMC recommends using 256-bit encryption strength as well as TLS 1.2 or higher. For tighter control, additional ciphers may be removed via "Cipher Select" – see the iDRAC User Guide for more details. 
  • Dell EMC recommends additional settings such as IP range filtering and System Lockdown Mode. 
  • Dell EMC recommends using additional security authentication options such as Microsoft Active Directory or LDAP.
  • Dell EMC recommends keeping iDRAC firmware up to date.

Customers can download software, including the latest release of iDRAC firmware, from the Dell Support site.
https://www.dell.com/support/home/
Customers can find the iDRAC documentation from the Dell EMC Support site.
www.dell.com/idracmanuals

감사의 말

CVE-2020-5366: Dell EMC would like to thank Georgy Kiguradze and Mark Ermolov from Positive Technologies

관련 정보

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide


Dell Technologies 보안 권장 사항에 포함된 정보를 읽고 여기에 설명된 문제로 인해 발생할 수 있는 상황을 피하는 데 도움을 받으십시오. Dell Technologies는 보안 권장 사항을 배포하여 영향을 받는 제품의 사용자에게 중요한 보안 정보를 제공합니다. Dell Technologies는 다양하게 설치된 시스템에서 평균적으로 발생하는 위험을 기반으로 위험을 평가하므로 로컬 설치 및 개별 환경에서 발생하는 실제 위험은 표시되지 않을 수 있습니다. 모든 사용자가 이 정보를 개별 환경에 적용할 수 있는지 여부를 결정하고 적절한 조치를 취하는 것이 좋습니다. 여기에 명시된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell Technologies는 상품성, 특정 목적에의 적합성, 소유권 및 비침해에 대한 보증을 포함한 어떠한 명시적 또는 묵시적 보증도 하지 않습니다. 어떠한 경우에도 Dell Technologies와 해당 계열사 또는 공급업체는 여기에 포함된 정보 또는 이를 기반으로 수행하도록 결정한 조치로 인해 발생할 가능성이 있는 손해(직접적, 간접적, 부수적, 결과적, 비즈니스 이익 손실 또는 특수한 손해 포함)에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 전술한 제한은 법률에 따라 허용되는 범위까지 적용됩니다.

문서 속성


영향을 받는 제품

Product Security Information

마지막 게시 날짜

11 12월 2020

버전

3

문서 유형

Dell Security Advisory

이 문서 평가하기


정확함
유용함
이해하기 쉬움
이 문서가 도움이 되셨나요?

0/3000 문자