IDRAC: CVE-sikkerhedsrisici: CVE-2000-0146, CVE-2002-0748, CVE-1999-0517: Sikring af virtuel konsol med TLS 1.2

摘要: Denne artikel hjælper dig med at formulere handlingsplanen til afhjælpning af nedenstående CVE er, mens kunden rapporterer sårbarhedsadvarsler på IDRAC.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Hvis vores kunde rapporterer CVE-sårbarheder på IDRAC med scanningsresultatet pegende mod CVE-nummer, tilknyttet port, beskrivelse som nedenfor i scanningsrapporten, kan du for at afhjælpe disse CVE er se nedenstående trin for at ændre IDRAC-indstillingerne efter behov og foreslå, at kunden kører scanningen igen.
 

CVE Port Navn Beskrivelse
CVE-2000-0146 5900 Novell GroupWise forbedringspakke Java Server URL-håndtering Overflow DoS. Den eksterne webserver kan holde op med at reagere ved en alt for lang anmodning: GET / servlet / AAAA ... AAAA.
Dette angreb er kendt for at påvirke GroupWise-servere.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Hent Newline DoS. Det var muligt at dræbe webserveren ved at sende en anmodning, der slutter med to LF-tegn i stedet for den normale sekvens CR LF CR LF (CR = vognretur, LF = linjefødning).
En hacker kan udnytte denne sårbarhed til at få denne server og alle LabView-programmer til at gå ned.
CVE-1999-0517 161 SNMP-agent Standardfællesskabsnavn (offentligt) Det er muligt at hente standardfællesskabsnavnet på den eksterne SNMP-server.
En hacker kan bruge disse oplysninger til at få mere viden om fjernværten eller til at ændre konfigurationen af fjernsystemet (hvis standardfællesskabet tillader sådanne ændringer).
  5900 TLS version 1.1-protokol udfaset Fjerntjenesten accepterer krypterede forbindelser ved hjælp af TLS 1.1. TLS 1.1 mangler understøttelse af aktuelle og anbefalede chiffersuiter. Cifre, der understøtter kryptering før MAC-beregning, og godkendte krypteringstilstande som GCM kan ikke bruges sammen med TLS 1.1. Fra og med den 31. marts 2020 vil slutpunkter, der ikke er aktiveret til TLS 1.2 og nyere, ikke længere fungere korrekt med større webbrowsere og større leverandører.


Du kan SSH til IDRAC IP eller bruge iDRAC-værktøjer til eksterne RACADM-kommandoer for at følge nedenstående trin.
Begræns webserveren til TLS 1.2-protokollen.

Kontrollér de aktuelle indstillinger for iDRAC-webserver:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Sådan indstilles iDRAC-webserverindstillingerne til TLS 1.2:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Brug kommandoen get til at bekræfte TLS-protokolindstillingerne for iDRAC-webserveren:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


Via IDRAC grafisk brugergrænseflade - kan se nedenstående skærmbillede.

iDRAC-brugergrænseflade, der viser netværksafsnittet, der fremhæver TLS-protokollen

Bekræft SNMP-agentens "SNMP-fællesskabsnavn", og skift standardnavnet for SNMP-fællesskabet fra "Offentligt" for at angive et andet navn, eller vælg alternativt SNMPv3-protokol.
Nedenstående uddrag er taget fra TSR-rapporten - Hardware - Attributter sektion til reference.
TSR-rapport – Hardware – Sektionen Attributter

Kan også se IDRAC grafisk brugergrænseflade - iDRAC-indstillinger - Netværk - Tjenester.
iDRAC UI – Netværk – Sektionen Tjenester

RACADM CLI-kommando til bekræftelse af SNMP-agent – SNMP-protokolindstillinger:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Her er de juridiske værdier
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Kommando til ændring af objektværdi:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

RACADM-kommando til bekræftelse af SNMP-agenten – SNMP-fællesskabsnavn:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

Kommando til indstilling af SNMP-fællesskabsnavn:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


IDRAC8 RACADM CLI-vejledning
Integrated Dell Remote Access Controller 9 RACADM CLI-vejledning | Dell USA

受影响的产品

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
文章属性
文章编号: 000208968
文章类型: How To
上次修改时间: 08 5月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。