DSA-2019-028: Многочисленные уязвимости Dell Technologies iDRAC
Сводка: Контроллер Dell Technologies iDRAC был обновлен с учетом нескольких уязвимостей, которые могут быть использованы для взлома затронутых систем.
Симптомы
Идентификатор DSA: DSA-2019-028
,идентификатор CVE: Уровень серьезности CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707
: Высокий
уровень серьезности: Ниже см. раздел «Подробности» с информацией об отдельных оценках CVSS для каждой CVE.
Затронутые продукты:
- Dell Technologies iDRAC6 версии до 2.92 (CVE-2019-3705)
- Версии Dell Technologies iDRAC7/iDRAC8 до 2.61.60.60 (CVE-2019-3705)
- Версии Dell Technologies iDRAC9 до 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 и CVE-2019-3707)
Причина
Описание:
- Уязвимость переполнения буфера (CVE-2019-3705)
Базовая оценка CVSSv3 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Уязвимость, связанная с обходом проверки подлинности веб-интерфейса (CVE-2019-3706)
Базовая оценка CVSSv3 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- Уязвимость, связанная с обходом проверки подлинности WS-MAN (CVE-2019-3707)
Разрешение
Следующие выпуски микропрограммы Dell Technologies iDRAC содержат решения для этих уязвимостей.
|
iDRAC |
Версия микропрограммы iDRAC |
|
iDRAC9 |
3.20.21.20 |
|
3.21.24.22 |
|
|
3.21.26.22 |
|
|
3.23.23.23 |
|
|
|
3.24.24.24 |
|
|
3.22.22.22 |
|
|
3.21.25.22 |
|
|
3.30.30.30 |
|
iDRAC8 |
2.61.60.60 |
|
iDRAC7 |
2.61.60.60 |
|
iDRAC6 |
2,92. |
Dell Technologies рекомендует всем заказчикам выполнить обновление при первой же возможности.
Передовые подходы Dell в отношении iDRAC.
Помимо поддержания актуальности микропрограммы iDRAC, Dell также рекомендует следующее:
- Контроллеры iDRAC не предназначены для размещения в Интернете или подключения к нему. Они должны находиться в отдельной сети управления. Размещение или подключение контроллеров iDRAC напрямую к Интернету может подвергнуть подключенную систему рискам безопасности и другим рискам, за которые Dell не несет ответственности.
- Наряду с размещением контроллеров iDRAC в отдельной подсети управления, пользователи должны изолировать подсеть управления/vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети/vLAN, разрешив его только авторизованным администраторам сервера.
- Dell Technologies рекомендует заказчикам учитывать все факторы развертывания, которые могут быть актуальны для их среды, для оценки общих рисков.
Ссылка на средство правовой защиты:
заказчики могут скачать микропрограмму iDRAC для серверов PowerEdge. Для всех остальных платформ выберите платформу на сайте поддержки Dell.
Dell Technologies рекомендует всем пользователям оценить применимость этой информации к их конкретным ситуациям и принять соответствующие меры. Информация в настоящем документе предоставляется на условиях «как есть» без каких-либо гарантий. Dell отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности, пригодности для определенной цели, права собственности и ненарушения прав интеллектуальной собственности. Ни при каких обстоятельствах компания Dell или ее поставщики не несут ответственности за какие-либо убытки, включая прямые, непрямые, случайные, косвенные убытки, потери предпринимательской прибыли или особые убытки, даже если компания Dell или ее поставщики были предупреждены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенные или случайные убытки, поэтому вышеуказанное ограничение может не действовать.