IDRAC: CVE-haavoittuvuudet: CVE-2000-0146, CVE-2002-0748 ja CVE-1999-0517: Virtuaalikonsolin suojaaminen TLS 1.2:lla

摘要: Tämän artikkelin avulla voit laatia toimintasuunnitelman seuraavien CVE:iden lieventämiseksi, kun asiakkaat raportoivat haavoittuvuusilmoituksista IDRACissa.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Jos asiakkaamme ilmoittaa CVE-haavoittuvuuksista IDRACissa ja skannaustulos osoittaa CVE-numeroon, liitettyyn porttiin tai kuvaukseen, kuten skannausraportissa alla, noudata seuraavia ohjeita, jotta voit lieventää näitä CVE:itä, muuttaa IDRAC-asetuksia tarvittaessa alla olevien ohjeiden mukaisesti ja ehdottaa, että asiakas suorittaa tarkistuksen uudelleen.
 

CVE Portti Nimi Kuvaus
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java-palvelimen URL-osoitteiden käsittely DoS. Etäverkkopalvelin voi lakata vastaamasta liian pitkällä pyynnöllä: HANKI /servlet/AAAA... AAAA.
Tämän hyökkäyksen tiedetään vaikuttavan GroupWise-palvelimiin.
CVE-2002-0748 5900 LabVIEW Web-palvelin HTTP Hanki Newline DoS. Web-palvelin oli mahdollista tappaa lähettämällä pyyntö, joka päättyy kahteen LF-merkkiin normaalin järjestyksen CR LF CR LF sijaan (cr = vaunun palautus, LF = rivinsyöttö).
Hyökkääjä voi hyödyntää tätä haavoittuvuutta saadakseen tämän palvelimen ja kaikki LabView-sovellukset kaatumaan.
CVE-1999-0517 161 SNMP-agentin oletusyhteisönimi (julkinen) SNMP-etäpalvelimen oletusyhteisönimi on mahdollista hankkia.
Hyökkääjä voi käyttää näitä tietoja saadakseen lisätietoja etäisännästä tai muuttaakseen etäjärjestelmän kokoonpanoa (jos oletusyhteisö sallii tällaiset muutokset).
  5900 TLS-version 1.1 protokolla vanhentunut Etäpalvelu hyväksyy salatut yhteydet TLS 1.1:n avulla. TLS 1.1 ei tue nykyisiä ja suositeltuja salausohjelmistoja. TLS 1.1:n kanssa ei voi käyttää salauksia, jotka tukevat salausta ennen MAC-laskentaa, eikä todennettuja salaustiloja, kuten GCM:ää. 31.3.2020 alkaen päätepisteet, joita ei ole otettu käyttöön TLS 1.2:ssa ja sitä uudemmissa versioissa, eivät enää toimi oikein tärkeimpien selainten ja päätoimittajien kanssa.


Voit muodostaa SSH-yhteyden IDRAC-IP-osoitteeseen tai käyttää iDRAC Tools -työkalua RACADM-etäkomentoihin seuraavien ohjeiden mukaisesti.
Rajoita verkkopalvelin TLS 1.2 -protokollaan.

Tarkista iDRAC-verkkopalvelimen nykyiset asetukset:

racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 
Voit määrittää iDRAC-verkkopalvelimen asetukseksi TLS 1.2 -tason seuraavasti:

racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

  
Vahvista iDRAC-verkkopalvelimen TLS-protokollan asetukset get-komennolla:

racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only


iDRAC:n graafisen käyttöliittymän kautta - saattaa nähdä alla olevan näyttökuvan.

iDRAC-käyttöliittymä, jossa näkyy verkko-osa, jossa näkyy korostettuna TLS-protokolla

Tarkista SNMP-agentin SNMP Community Name ja vaihda oletusarvoinen SNMP-yhteisön nimi julkisesta ja määritä toinen nimi tai vaihtoehtoisesti SNMPv3-protokolla.
Tämä alla oleva katkelma on otettu TSR-raportti - laitteisto - määritteet -osasta.
TSR-raportti – Laitteisto – Määritteet-osio

Saattaa myös näkyä osiossa: IDRAC Graphic User Interface - iDRAC Settings - Network - Services.
iDRAC käyttöliittymä – Verkko – Palvelut-osio

RACADM CLI -komento, jolla tarkistetaan SNMP Agent - SNMP Protocol -asetukset:

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1


Tässä oikeudelliset arvot
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Objektin arvon muutoskomento:

racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3

 

RACADM-komento, jolla tarkistetaan SNMP Agent - SNMP Community Name:

racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public

 

SNMP-yhteisön nimen määrityskomento:

racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully


IDRAC8 RACADM CLI -opas
Integroitu Dell Remote Access Controller 9 RACADM CLI -opas | Dell USA

受影响的产品

PowerFlex rack, VxRail, HS Series, Rack Servers, XE Servers, iDRAC7, iDRAC8, iDRAC9, PowerEdge XR2, PowerEdge C4130, Poweredge C4140, PowerEdge c6320, PowerEdge c6320p, PowerEdge C6420, PowerEdge C6520, PowerEdge C6525, PowerEdge C6615 , PowerEdge C6620, Poweredge FC430, Poweredge FC630, PowerEdge FC640, Poweredge FC830, PowerEdge FM120x4 (for PE FX2/FX2s), PowerEdge M630, PowerEdge M630 (for PE VRTX), PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge M830, PowerEdge M830 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge T130, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T330, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T430, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T630, PowerEdge T640, PowerEdge XR11, PowerEdge XR12, PowerEdge XR5610, PowerEdge XR7620 ...
文章属性
文章编号: 000208968
文章类型: How To
上次修改时间: 08 5月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。