DSA-2019-028: Flere sikkerhetsproblemer med Dell Technologies iDRAC
Sammendrag: Dell Technologies iDRAC er oppdatert for å håndtere flere sikkerhetsproblemer som kan utnyttes til å skade de berørte systemene.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
DSA-ID: DSA-2019-028
CVE Identifier: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
Alvorlighetsgrad: Høy
alvorlighetsgrad: Se delen Detaljer nedenfor om individuelle CVSS-poengsummer for hver CVE.
Berørte produkter:
- Dell Technologies iDRAC6-versjoner før 2.92 (CVE-2019-3705)
- Dell Technologies iDRAC7/iDRAC8-versjoner som er eldre enn 2.61.60.60 (CVE-2019-3705)
- Dell Technologies iDRAC9-versjoner før 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 og CVE-2019-3707)
Årsak
Detaljer:
- Sikkerhetsproblemer ved bufferoverløp (CVE-2019-3705)
Dell Technologies iDRAC6-versjoner før 2.92, iDRAC7/iDRAC8-versjoner før 2.61.60.60 og iDRAC9-versjoner før 3.20.21.20, 3.21.24.22, 3.21.26.22 og 3.23.23.23 inneholder et stabelbasert sikkerhetsproblem med bufferoverflyt. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å krasje nettserveren eller kjøre en vilkårlig kode på systemet med privilegier for nettserveren ved å sende spesiallagde inndata til det berørte systemet.
CVSSv3-grunnpoengsum: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Sikkerhetsproblemet ved omgåelse av godkjenning av nettverksgrensesnitt (CVE-2019-3706)
Dell Technologies iDRAC9-versjoner før 3.24.24.24, 3.21.26.22, 3.22.22.22 og 3.21.25.22 inneholder et sikkerhetsproblem med omgåelse av godkjenning. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til iDRAC-nettgrensesnittet.
CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Sikkerhetsproblem ved omgåelse av WS-MAN-godkjenning (CVE-2019-3707)
Dell Technologies iDRAC9-versjoner som er eldre enn 3.30.30.30, inneholder et sikkerhetsproblem med omgåelse av godkjenning. En ekstern angriper kan potensielt utnytte dette sikkerhetsproblemet for å omgå godkjenningen og få tilgang til systemet ved å sende spesiallagd data til WS-MAN-grensesnittet.
CVSSv3 grunnpoengsum: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
Oppløsning
Følgende iDRAC-fastvareversjoner fra Dell Technologies inneholder løsninger på disse sikkerhetsproblemene:
|
iDRAC |
iDRAC-fastvareversjon |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2,92. |
Dell Technologies anbefaler at alle kunder oppgraderer så snart som mulig.
Dells anbefalte fremgangsmåter for iDRAC:
I tillegg til å holde iDRAC-fastvaren oppdatert, anbefaler Dell også følgende:
- iDRAC-er er ikke designet eller ment å plasseres på eller kobles til Internett. De er ment å være på et eget administrasjonsnettverk. Plassering eller tilkobling av iDRAC-er direkte til Internett kan utsette det tilkoblede systemet for sikkerhet og andre risikoer som Dell ikke er ansvarlig for.
- I tillegg til bare å koble iDRAC-er til et separat delnett for administrasjon, bør brukerne isolere delnettet for administrasjon / vLAN-nettverket med teknologier som for eksempel brannmurer, og begrense tilgangen til delnettet/VLAN-nettverket til autorisert serveradministratorer.
- Dell Technologies anbefaler at kundene vurderer eventuelle implementeringsfaktorer som kan være relevante for miljøet deres, for å vurdere den totale risikoen.
Kobling til løsninger:
Kunder kan laste ned iDRAC-fastvare for PowerEdge-servere. For alle andre plattformer velger du plattformen fra Dells nettsted for kundestøtte.
Dell Technologies anbefaler at alle brukere avgjør anvendeligheten av denne informasjonen i sine individuelle situasjoner og iverksetter nødvendige tiltak. Informasjonen som er angitt i dette dokumentet, leveres som den er uten garantier av noe slag. Dell fraskriver seg alle garantier, både uttrykte og underforståtte, inkludert garantier om salgbarhet, egnethet for et bestemt formål, rett og krenkelse av tredjeparts rettigheter. Ikke under noen omstendigheter skal Dell EMC eller dets leverandører holdes ansvarlig for skader eller tap, inkludert direkte, indirekte eller tilfeldige skader, følgeskader, tap av inntekter eller spesielle skader, selv om Dell EMC eller deres leverandører er underrettet om muligheten for slike skader. Noen land tillater ikke at ansvar for følgeskader eller tilfeldige skader utelukkes eller begrenses, noe som betyr at ovennevnte begrensning ikke gjelder.
Berørte produkter
iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80
, iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01
...
Artikkelegenskaper
Artikkelnummer: 000176947
Artikkeltype: Solution
Sist endret: 11 des. 2024
Versjon: 4
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.