DSA-2019-028: Vícenásobné chyby zabezpečení řadiče iDRAC společnosti Dell Technologies

Summary: Aktualizace řadiče iDRAC společnosti Dell Technologies řeší různé chyby zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Symptoms

ID DSA: DSA-2019-028

Identifikátor CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Závažnost: Vysoké

hodnocení závažnosti: Níže naleznete část Podrobnosti o jednotlivých skóre CVSS pro jednotlivé CVE.
                         
Dotčené produkty:
 

  • Dell Technologies iDRAC6, verze před 2.92 (CVE-2019-3705)
  • Verze Dell Technologies iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2019-3705)
  • Verze řadiče Dell Technologies iDRAC9 před verzemi 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 a CVE-2019-3707)

Cause

Podrobnosti:  

  • Zranitelnost zahlcení vyrovnávací paměti (CVE-2019-3705)
     
Verze řadiče iDRAC6 společnosti Dell Technologies před verzí 2.92, iDRAC7/iDRAC8 před verzí 2.61.60.60 a iDRAC9 před verzemi 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahují chybu zabezpečení spočívající v přetečení vyrovnávací paměti na základě zásobníku. Neověřený vzdálený útočník by mohl tuto zranitelnost zneužít k selhání webového serveru nebo ke spuštění libovolného kódu v systému s oprávněními webového serveru odesláním speciálně vytvořených vstupních dat do dotčeného systému.

Základní skóre CVSSv3: 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Zranitelnost obcházení ověřování webového rozhraní (CVE-2019-3706)
 
Verze řadiče Dell Technologies iDRAC9 před verzemi 3.24.24.24, 3.21.26.22, 3.22.22.22 a 3.21.25.22 obsahují chybu zabezpečení zajišťující obejití ověření. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených dat do webového rozhraní řadiče iDRAC.

Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Zranitelnost obcházení ověřování WS-MAN (CVE-2019-3707)
 
Verze řadiče Dell Technologies iDRAC9 před 3.30.30.30 obsahují chybu zabezpečení týkající se obejití ověření. Vzdálený útočník může potenciálně zneužít tuto zranitelnost a obejít tak ověřování a získat přístup k systému odesláním speciálně vytvořených vstupních dat do rozhraní WS-MAN.
 
Základní skóre CVSSv3: 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Resolution

Následující vydání firmwaru řadiče iDRAC společnosti Dell Technologies obsahují řešení těchto chyb zabezpečení:
 

iDRAC

Verze firmwaru řadiče iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92



Společnost Dell Technologies doporučuje všem zákazníkům provést upgrade při nejbližší příležitosti.  

Nejlepší postupy společnosti Dell týkající se řadiče iDRAC:

Kromě udržování aktuálního firmwaru řadiče iDRAC společnost Dell také doporučuje následující:

  • Řadiče iDRAC nejsou navrženy ani určeny k umístění na internet nebo připojení k internetu. Mají být v samostatné síti pro správu. Umístění nebo připojení řadičů iDRAC přímo k internetu může vystavit připojený systém bezpečnostním a dalším rizikům, za která společnost Dell nenese odpovědnost.   
  • Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
  • Společnost Dell Technologies doporučuje, aby zákazníci zvážili všechny faktory nasazení, které mohou být relevantní pro jejich prostředí, a mohli tak posoudit své celkové riziko.


Odkaz na nápravná opatření:

Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge. U všech ostatních platforem vyberte platformu z webu podpory společnosti Dell.


Společnost Dell Technologies doporučuje všem uživatelům, aby zvážili použitelnost těchto informací ve své individuální situaci a podnikli příslušné kroky. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell se zříká veškerých záruk, výslovných nebo předpokládaných, včetně záruk obchodovatelnosti, vhodnosti pro určitý účel, nároku a neporušení práv. Společnost Dell ani její dodavatelé neponesou v žádném případě odpovědnost za naprosto jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.

Produse afectate

iDRAC7 with Lifecycle Controller Version 2.22.22.22, iDRAC6 for Monolithic Servers Version 2.85, iDRAC6 for Monolithic Servers Version 2.90, iDRAC6 for Monolithic Servers Version 2.91, iDRAC6 for Monolithic Servers Version 2.80 , iDRAC6 for Monolithic Servers Version 1.99, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7 with Lifecycle Controller Version 2.43.43.43, iDRAC7 with Lifecycle Controller Version 2.21.21.21, iDRAC7 with Lifecycle Controller Version 2.30.30.30, iDRAC7 with Lifecycle Controller Version 2.40.40.40, iDRAC7 with Lifecycle Controller Version 2.41.40.40, iDRAC7/8 with Lifecycle Controller Version 2.50.50.50, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.60.60.60, iDRAC7 with Lifecycle Controller Version 2.10.10.10, iDRAC7 with Lifecycle Controller Version 2.20.20.20, iDRAC7 with Lifecycle Controller Version 2.31.31.30, iDRAC7 with Lifecycle Controller Version 2.32.31.30, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.18.17.13, iDRAC8 with Lifecycle Controller Version 2.30.119.30, iDRAC8 with Lifecycle Controller Version 2.35.35.35, iDRAC8 with Lifecycle Controller Version 2.42.110.40, iDRAC8 with Lifecycle Controller Version 2.45.45.40, iDRAC8 with Lifecycle Controller Version 2.55.55.50, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05, iDRAC8 with Lifecycle Controller Version 2.23.23.21, iDRAC9 - 3.0x Series, iDRAC9 - 3.1x Series, iDRAC9 - 3.2x Series, iDRAC6 for Blade Servers Version 2.0, iDRAC6 for Blade Servers Version 2.1, iDRAC6 for Blade Servers Version 2.2, iDRAC for Blade Servers Version 1.0, iDRAC for Blade Servers Version 1.11, iDRAC for Blade Servers Version 1.2, iDRAC for Blade Servers Version 1.4, iDRAC for Blade Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.0, iDRAC6 for Monolithic Servers Version 1.1, iDRAC6 for Monolithic Servers Version 1.2, iDRAC6 for Monolithic Servers Version 1.3, iDRAC6 for Monolithic Servers Version 1.5, iDRAC6 for Monolithic Servers Version 1.7, iDRAC6 for Monolithic Servers Version 1.8, iDRAC6 for Monolithic Servers Version 1.9, iDRAC6 for Monolithic Servers Version 1.95, iDRAC6 for Monolithic Servers Version 1.97, iDRAC6 for Monolithic Servers Version 1.98, iDRAC7 Version 1.00.00, iDRAC7 Version 1.10.10, iDRAC7 Version 1.20.20, iDRAC7 Version 1.30.30, iDRAC7 Version 1.35.35, iDRAC7 Version 1.40.40, iDRAC7 Version 1.50.50, iDRAC7 Version 1.51.51, iDRAC7 Version 1.55.55, iDRAC7 Version 1.56.55, iDRAC7 Version 1.57.57, iDRAC8 with Lifecycle Controller Version 2.00.00.00, iDRAC8 with Lifecycle Controller Version 2.02.01.01 ...
Proprietăți articol
Article Number: 000176947
Article Type: Solution
Ultima modificare: 11 Dec 2024
Version:  4
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.