Dell EMC 對常見漏洞和暴露的回應 - CVE-2019-9506
摘要: Dell EMC 對常見漏洞和暴露的回應 - CVE-2019-9506
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
[2019年8月13日]
概述
以下是 Dell EMC 對 CVE-2019-9506 的回應。
技術摘要
藍牙 BR/EDR 加密密鑰協商協定容易受到數據包注入的影響,這可能允許未經身份驗證的使用者減小加密密鑰熵的大小,從而可能導致資訊洩露和/或通過相鄰訪問升級許可權。目前沒有任何關於被利用的知識。
如需此處提及之任何通用漏洞披露 (CVE) 的詳細資訊,請前往 http://nvd.nist.gov/home.cfm 查閱國家漏洞資料庫 (NVD)。若要搜尋特定的 CVE,請使用 位於 http://web.nvd.nist.gov/view/vuln/search 的資料庫搜尋公用程式。
Dell EMC 回應
鑒於「iDRAC Quick Sync 2」選項的設計及預期用途,上述 CVE 並不適用於該選項。 iDRAC Quick Sync 2 解決方案使用藍牙低功耗 (BLE),並停用傳統藍牙連線。 CVE-2019-9506 是藍牙 BR/EDR 連線專用。 Quick Sync 2 僅允許 BLE 特定連接。 此外,Quick Sync 2 不使用藍牙規範中定義的任何標準安全機制。 Dell EMC 解決方案採用「Just Works」(無驗證) 配對方法。 所有安全性 (驗證與加密) 都是使用 Dell 專有通訊協定在應用程式層執行。
下表依伺服器世代與 Dell EMC 回應,顯示各種 iDRAC 韌體版本。
Dell EMC 關於 iDRAC
的最佳實務除了維護最新的 iDRAC 韌體和停用瀏覽器中較低通訊協定之外,Dell EMC 還提供下列建議:
Dell 建議所有使用者都將此資訊的適用性依他們的個別情況來決定,並採取適當措施。本文提及的資訊以「現狀」提供,不提供任何形式的擔保。Dell 不提供任何擔保,包括適售性、特定用途的適用性、權利和非侵權明示或默示的擔保。Dell 或其供應商在任何情況下對於任何形式的損失均不負責,包括直接、間接、附帶性或衍生性損失、損失商業利潤或特殊損失,即使 Dell 或其供應商已被告知此類損失發生的可能性。有些州不允許排除或限制衍生性或附帶性損失的責任,所以前述限制可能不適用。
概述
以下是 Dell EMC 對 CVE-2019-9506 的回應。
技術摘要
藍牙 BR/EDR 加密密鑰協商協定容易受到數據包注入的影響,這可能允許未經身份驗證的使用者減小加密密鑰熵的大小,從而可能導致資訊洩露和/或通過相鄰訪問升級許可權。目前沒有任何關於被利用的知識。
如需此處提及之任何通用漏洞披露 (CVE) 的詳細資訊,請前往 http://nvd.nist.gov/home.cfm 查閱國家漏洞資料庫 (NVD)。若要搜尋特定的 CVE,請使用 位於 http://web.nvd.nist.gov/view/vuln/search 的資料庫搜尋公用程式。
Dell EMC 回應
鑒於「iDRAC Quick Sync 2」選項的設計及預期用途,上述 CVE 並不適用於該選項。 iDRAC Quick Sync 2 解決方案使用藍牙低功耗 (BLE),並停用傳統藍牙連線。 CVE-2019-9506 是藍牙 BR/EDR 連線專用。 Quick Sync 2 僅允許 BLE 特定連接。 此外,Quick Sync 2 不使用藍牙規範中定義的任何標準安全機制。 Dell EMC 解決方案採用「Just Works」(無驗證) 配對方法。 所有安全性 (驗證與加密) 都是使用 Dell 專有通訊協定在應用程式層執行。
下表依伺服器世代與 Dell EMC 回應,顯示各種 iDRAC 韌體版本。
|
iDRAC |
iDRAC 韌體版本 |
目標發行日期 |
Dell EMC 回應 |
|
iDRAC9 |
3.00.00.00 或更新版本 |
N/A |
不受影響 (僅使用 BLE) |
|
iDRAC8 |
任何 |
N/A |
不使用藍牙 |
|
iDRAC7 |
任何 |
N/A |
不使用藍牙 |
|
iDRAC6 |
任何 |
N/A |
不使用藍牙 |
Dell EMC 關於 iDRAC
的最佳實務除了維護最新的 iDRAC 韌體和停用瀏覽器中較低通訊協定之外,Dell EMC 還提供下列建議:
- iDRAC 並非設計為可放置在網際網路上,亦非旨在連線至網際網路;它們應位於單獨的管理網路上。 將 iDRAC 放置或直接連線至網際網路,可能會使連線系統面臨安全性和其他風險,Dell EMC 對此概不負責。
- 除了將 iDRAC 放置在個別管理子網路上,使用者也應使用防火牆等技術隔離管理子網路/vLAN,並限制只有經過授權的伺服器系統管理員才能存取子網路/vLAN。
Dell 建議所有使用者都將此資訊的適用性依他們的個別情況來決定,並採取適當措施。本文提及的資訊以「現狀」提供,不提供任何形式的擔保。Dell 不提供任何擔保,包括適售性、特定用途的適用性、權利和非侵權明示或默示的擔保。Dell 或其供應商在任何情況下對於任何形式的損失均不負責,包括直接、間接、附帶性或衍生性損失、損失商業利潤或特殊損失,即使 Dell 或其供應商已被告知此類損失發生的可能性。有些州不允許排除或限制衍生性或附帶性損失的責任,所以前述限制可能不適用。
受影響的產品
PowerEdge, iDRAC7 with Lifecycle Controller Version 2.13.13.12, iDRAC7 with Lifecycle Controller Version 2.15.10.10, iDRAC7/8 with Lifecycle Controller Version 2.52.52.52, iDRAC7/8 with Lifecycle Controller Version 2.63.60.61
, iDRAC7/8 with Lifecycle Controller Version 2.63.60.62, iDRAC7 Version 1.65.65, iDRAC7 Version 1.66.65, iDRAC8 with Lifecycle Controller Version 2.12.12.12, iDRAC8 with Lifecycle Controller Version 2.14.14.12, iDRAC8 with Lifecycle Controller Version 2.17.17.13, iDRAC8 with Lifecycle Controller Version 2.04.02.01, iDRAC8 with Lifecycle Controller Version 2.05.05.05
...
文章屬性
文章編號: 000177059
文章類型: Solution
上次修改時間: 05 5月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。