DSA-2021-106:適用於 BIOSConnect 和 HTTPS 開機功能 (為 Dell 用戶端 BIOS 的一部分) 多個漏洞的 Dell 用戶端平台安全性更新
摘要: Dell 正在針對影響 BIOSConnect 和 HTTPS 開機功能的多個安全性漏洞發佈補救方法。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
影響
High
詳細資料
| 專有代碼 CVE | 描述名稱 | CVSS 基本分數 | CVSS 向量字串 |
| CVE-2021-21571 | Dell BIOSConnect 功能和 Dell HTTPS 開機功能所使用的 Dell UEFI BIOS https 堆疊內含不正確的憑證驗證漏洞。未經驗證的遠端攻擊者可能會使用中間人攻擊手法來利用此漏洞,其可能會導致拒絕服務和裝載篡改。 | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H |
| CVE-2021-21572、 CVE-2021-21573、 CVE-2021-21574 |
Dell BIOSConnect 功能包含緩充區溢位漏洞。擁有系統本機存取權的經驗證惡意系統管理員使用者可能會利用此漏洞,執行任意程式碼並繞過 UEFI 限制。 | 7.2 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
Dell BIOSConnect 和 HTTPS 開機功能的說明:
- Dell BIOSConnect 功能是一種 Dell 開機前解決方案,用來更新系統 BIOS,並使用 Dell 用戶端平台上的 SupportAssist OS Recovery 復原作業系統 (OS)。注意:BIOSConnect 需要有實際存在的使用者才能啟動此功能。只有具備 BIOSConnect 功能的平台子集會受到影響。請參閱下方「其他資訊」一節下的表格以瞭解受影響的平台。
- Dell HTTPS 開機功能是一種 UEFI HTTP 開機規格的延伸,可從 HTTP(S) 伺服器開機。注意:此功能並非預設設定,需要擁有本機作業系統管理員權限的實體存在使用者進行設定。此外,與無線網路搭配使用時,必須有實際存在使用者啟動功能。並非所有平台都包含 HTTPS 開機功能。請參閱下方「其他資訊」一節下的表格,以取得受影響的平台清單。
利用此鏈結需要其他步驟:
- 若要利用 BIOSConnect 中的漏洞鏈結,惡意源起方必須另外執行其他步驟才能成功利用漏洞鏈結,包括:入侵使用者的網路、取得受 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統上實際存在的使用者使用 BIOSConnect 功能。
- 若要利用 HTTPS 開機中的漏洞,惡意源起方必須另外執行其他步驟才能成功利用漏洞,包括:入侵使用者網路、取得由 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統實際存在的使用者變更開機順序並使用 HTTPS 開機功能。
備註:如果安全開機已停用,可能會影響與 CVE-2021-21571 安全性漏洞相關的潛在嚴重性。
| 專有代碼 CVE | 描述名稱 | CVSS 基本分數 | CVSS 向量字串 |
| CVE-2021-21571 | Dell BIOSConnect 功能和 Dell HTTPS 開機功能所使用的 Dell UEFI BIOS https 堆疊內含不正確的憑證驗證漏洞。未經驗證的遠端攻擊者可能會使用中間人攻擊手法來利用此漏洞,其可能會導致拒絕服務和裝載篡改。 | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H |
| CVE-2021-21572、 CVE-2021-21573、 CVE-2021-21574 |
Dell BIOSConnect 功能包含緩充區溢位漏洞。擁有系統本機存取權的經驗證惡意系統管理員使用者可能會利用此漏洞,執行任意程式碼並繞過 UEFI 限制。 | 7.2 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
Dell BIOSConnect 和 HTTPS 開機功能的說明:
- Dell BIOSConnect 功能是一種 Dell 開機前解決方案,用來更新系統 BIOS,並使用 Dell 用戶端平台上的 SupportAssist OS Recovery 復原作業系統 (OS)。注意:BIOSConnect 需要有實際存在的使用者才能啟動此功能。只有具備 BIOSConnect 功能的平台子集會受到影響。請參閱下方「其他資訊」一節下的表格以瞭解受影響的平台。
- Dell HTTPS 開機功能是一種 UEFI HTTP 開機規格的延伸,可從 HTTP(S) 伺服器開機。注意:此功能並非預設設定,需要擁有本機作業系統管理員權限的實體存在使用者進行設定。此外,與無線網路搭配使用時,必須有實際存在使用者啟動功能。並非所有平台都包含 HTTPS 開機功能。請參閱下方「其他資訊」一節下的表格,以取得受影響的平台清單。
利用此鏈結需要其他步驟:
- 若要利用 BIOSConnect 中的漏洞鏈結,惡意源起方必須另外執行其他步驟才能成功利用漏洞鏈結,包括:入侵使用者的網路、取得受 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統上實際存在的使用者使用 BIOSConnect 功能。
- 若要利用 HTTPS 開機中的漏洞,惡意源起方必須另外執行其他步驟才能成功利用漏洞,包括:入侵使用者網路、取得由 Dell UEFI BIOS https 堆疊內建的其中一個認證機構信任的認證,並等待系統實際存在的使用者變更開機順序並使用 HTTPS 開機功能。
備註:如果安全開機已停用,可能會影響與 CVE-2021-21571 安全性漏洞相關的潛在嚴重性。
受影響的產品與補救措施
已於 2021 年 5 月 28 日在 Dell 後端伺服器上對 BIOSConnect 相關元件中的 CVE-2021-21573 和 CVE-2021-21574 進行補救,客戶無須採取任何其他動作。
CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如:
CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如:
- 使用其中一個 Dell 通知解決方案接收通知,並在可用時自動下載 BIOS 更新。
- 造訪驅動程式與下載網站,以取得適用產品的更新。若要進一步瞭解,請造訪 Dell 知識文章 Dell BIOS 更新,然後下載 Dell 電腦的更新。
- 從 F12 一次性開機功能表刷新 BIOS。
已於 2021 年 5 月 28 日在 Dell 後端伺服器上對 BIOSConnect 相關元件中的 CVE-2021-21573 和 CVE-2021-21574 進行補救,客戶無須採取任何其他動作。
CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如:
CVE-2021-21571 和 CVE-2021-21572 需要 Dell 用戶端 BIOS 更新以解決漏洞。請參閱「其他資訊」一節下的表格,以判斷要套用至您系統之已補救的 Dell 用戶端 BIOS 版本。您可以透過多種方式來更新 Dell 用戶端 BIOS。如果您通常使用 BIOSConnect 來更新 BIOS,Dell 建議使用不同的方法套用 BIOS 更新,例如:
- 使用其中一個 Dell 通知解決方案接收通知,並在可用時自動下載 BIOS 更新。
- 造訪驅動程式與下載網站,以取得適用產品的更新。若要進一步瞭解,請造訪 Dell 知識文章 Dell BIOS 更新,然後下載 Dell 電腦的更新。
- 從 F12 一次性開機功能表刷新 BIOS。
以下列出受影響的產品和發行日期,以及適用的 BIOS 最低版本:
| 產品 | BIOS 更新版本 (或更高版本) |
支援 BIOSConnect | 支援 HTTP(s) 開機 | 發行日期 (MM/DD/YYYY) 預計發行 (Month /YYYY) |
| Alienware m15 R6 | 1.3.3 | 是 | 是 | 2021/06/21 |
| ChengMing 3990 | 1.4.1 | 是 | 否 | 2021/06/23 |
| ChengMing 3991 | 1.4.1 | 是 | 否 | 2021/06/23 |
| Dell G15 5510 | 1.4.0 | 是 | 是 | 2021/06/21 |
| Dell G15 5511 | 1.3.3 | 是 | 是 | 2021/06/21 |
| Dell G3 3500 | 1.9.0 | 是 | 否 | 2021/06/24 |
| Dell G5 5500 | 1.9.0 | 是 | 否 | 2021/06/24 |
| Dell G7 7500 | 1.9.0 | 是 | 否 | 2021/06/23 |
| Dell G7 7700 | 1.9.0 | 是 | 否 | 2021/06/23 |
| Inspiron 14 5418 | 2.1.0 A06 | 是 | 是 | 2021/06/24 |
| Inspiron 15 5518 | 2.1.0 A06 | 是 | 是 | 2021/06/24 |
| Inspiron 15 7510 | 1.0.4 | 是 | 是 | 2021/06/23 |
| Inspiron 3501 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Inspiron 3880 | 1.4.1 | 是 | 否 | 2021/06/23 |
| Inspiron 3881 | 1.4.1 | 是 | 否 | 2021/06/23 |
| Inspiron 3891 | 1.0.11 | 是 | 是 | 2021/06/24 |
| Inspiron 5300 | 1.7.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5301 | 1.8.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5310 | 2.1.0 | 是 | 是 | 2021/06/23 |
| Inspiron 5400 二合一 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Inspiron 5400 AIO | 1.4.0 | 是 | 否 | 2021/06/23 |
| Inspiron 5401 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Inspiron 5401 AIO | 1.4.0 | 是 | 否 | 2021/06/23 |
| Inspiron 5402 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5406 二合一 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5408 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Inspiron 5409 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5410 二合一 | 2.1.0 | 是 | 是 | 2021/06/23 |
| Inspiron 5501 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Inspiron 5502 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 5508 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Inspiron 5509 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 7300 | 1.8.1 | 是 | 否 | 2021/06/23 |
| Inspiron 7300 二合一 | 1.3.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7306 二合一 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 7400 | 1.8.1 | 是 | 否 | 2021/06/23 |
| Inspiron 7500 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7500 二合一 - 黑色 | 1.3.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7500 二合一 - 銀色 | 1.3.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7501 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7506 二合一 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Inspiron 7610 | 1.0.4 | 是 | 是 | 2021/06/23 |
| Inspiron 7700 AIO | 1.4.0 | 是 | 否 | 2021/06/23 |
| Inspiron 7706 二合一 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Latitude 3120 | 1.1.0 | 是 | 否 | 2021/06/23 |
| Latitude 3320 | 1.4.0 | 是 | 是 | 2021/06/23 |
| Latitude 3410 | 1.9.0 | 是 | 否 | 2021/06/23 |
| Latitude 3420 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Latitude 3510 | 1.9.0 | 是 | 否 | 2021/06/23 |
| Latitude 3520 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Latitude 5310 | 1.7.0 | 是 | 否 | 2021/06/24 |
| Latitude 5310 二合一 | 1.7.0 | 是 | 否 | 2021/06/24 |
| Latitude 5320 | 1.7.1 | 是 | 是 | 2021/06/21 |
| Latitude 5320 二合一 | 1.7.1 | 是 | 是 | 2021/06/21 |
| Latitude 5410 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Latitude 5411 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Latitude 5420 | 1.8.0 | 是 | 是 | 2021/06/22 |
| Latitude 5510 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Latitude 5511 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Latitude 5520 | 1.7.1 | 是 | 是 | 2021/06/21 |
| Latitude 5521 | 1.3.0 A03 | 是 | 是 | 2021/06/22 |
| Latitude 7210 二合一 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Latitude 7310 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Latitude 7320 | 1.7.1 | 是 | 是 | 2021/06/23 |
| Latitude 7320 Detachable | 1.4.0 A04 | 是 | 是 | 2021/06/22 |
| Latitude 7410 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Latitude 7420 | 1.7.1 | 是 | 是 | 2021/06/23 |
| Latitude 7520 | 1.7.1 | 是 | 是 | 2021/06/23 |
| Latitude 9410 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Latitude 9420 | 1.4.1 | 是 | 是 | 2021/06/23 |
| Latitude 9510 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Latitude 9520 | 1.5.2 | 是 | 是 | 2021/06/23 |
| Latitude 5421 | 1.3.0 A03 | 是 | 是 | 2021/06/22 |
| OptiPlex 3080 | 2.1.1 | 是 | 否 | 2021/06/23 |
| OptiPlex 3090 UFF | 1.2.0 | 是 | 是 | 2021/06/23 |
| OptiPlex 3280 多合一 | 1.7.0 | 是 | 否 | 2021/06/23 |
| OptiPlex 5080 | 1.4.0 | 是 | 否 | 2021/06/23 |
| OptiPlex 5090 直立式 | 1.1.35 | 是 | 是 | 2021/06/23 |
| OptiPlex 5490 AIO | 1.3.0 | 是 | 是 | 2021/06/24 |
| OptiPlex 7080 | 1.4.0 | 是 | 否 | 2021/06/23 |
| OptiPlex 7090 直立式 | 1.1.35 | 是 | 是 | 2021/06/23 |
| OptiPlex 7090 UFF | 1.2.0 | 是 | 是 | 2021/06/23 |
| OptiPlex 7480 多合一 | 1.7.0 | 是 | 否 | 2021/06/23 |
| OptiPlex 7490 多合一 | 1.3.0 | 是 | 是 | 2021/06/24 |
| OptiPlex 7780 多合一 | 1.7.0 | 是 | 否 | 2021/06/23 |
| Precision 17 M5750 | 1.8.2 | 是 | 否 | 2021/06/09 |
| Precision 3440 | 1.4.0 | 是 | 否 | 2021/06/23 |
| Precision 3450 | 1.1.35 | 是 | 是 | 2021/06/24 |
| Precision 3550 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Precision 3551 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Precision 3560 | 1.7.1 | 是 | 是 | 2021/06/21 |
| Precision 3561 | 1.3.0 A03 | 是 | 是 | 2021/06/22 |
| Precision 3640 | 1.6.2 | 是 | 否 | 2021/06/23 |
| Precision 3650 MT | 1.2.0 | 是 | 是 | 2021/06/24 |
| Precision 5550 | 1.8.1 | 是 | 否 | 2021/06/23 |
| Precision 5560 | 1.3.2 | 是 | 是 | 2021/06/23 |
| Precision 5760 | 1.1.3 | 是 | 是 | 2021/06/16 |
| Precision 7550 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Precision 7560 | 1.1.2 | 是 | 是 | 2021/06/22 |
| Precision 7750 | 1.8.0 | 是 | 否 | 2021/06/23 |
| Precision 7760 | 1.1.2 | 是 | 是 | 2021/06/22 |
| Vostro 14 5410 | 2.1.0 A06 | 是 | 是 | 2021/06/24 |
| Vostro 15 5510 | 2.1.0 A06 | 是 | 是 | 2021/06/24 |
| Vostro 15 7510 | 1.0.4 | 是 | 是 | 2021/06/23 |
| Vostro 3400 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Vostro 3500 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Vostro 3501 | 1.6.0 | 是 | 否 | 2021/06/23 |
| Vostro 3681 | 2.4.0 | 是 | 否 | 2021/06/23 |
| Vostro 3690 | 1.0.11 | 是 | 是 | 2021/06/24 |
| Vostro 3881 | 2.4.0 | 是 | 否 | 2021/06/23 |
| Vostro 3888 | 2.4.0 | 是 | 否 | 2021/06/23 |
| Vostro 3890 | 1.0.11 | 是 | 是 | 2021/06/24 |
| Vostro 5300 | 1.7.1 | 是 | 否 | 2021/06/23 |
| Vostro 5301 | 1.8.1 | 是 | 否 | 2021/06/23 |
| Vostro 5310 | 2.1.0 | 是 | 是 | 2021/06/23 |
| Vostro 5401 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Vostro 5402 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Vostro 5501 | 1.7.2 | 是 | 否 | 2021/06/23 |
| Vostro 5502 | 1.5.1 | 是 | 否 | 2021/06/23 |
| Vostro 5880 | 1.4.0 | 是 | 否 | 2021/06/23 |
| Vostro 5890 | 1.0.11 | 是 | 是 | 2021/06/24 |
| Vostro 7500 | 1.8.0 | 是 | 否 | 2021/06/23 |
| XPS 13 9305 | 1.0.8 | 是 | 否 | 2021/06/23 |
| XPS 13 二合一 9310 | 2.3.3 | 是 | 否 | 2021/06/23 |
| XPS 13 9310 | 3.0.0 | 是 | 否 | 2021/06/24 |
| XPS 15 9500 | 1.8.1 | 是 | 否 | 2021/06/23 |
| XPS 15 9510 | 1.3.2 | 是 | 是 | 2021/06/23 |
| XPS 17 9700 | 1.8.2 | 是 | 否 | 2021/06/09 |
| XPS 17 9710 | 1.1.3 | 是 | 是 | 2021/06/15 |
因應措施與緩解措施
Dell 建議所有客戶儘早更新至最新的 Dell 用戶端 BIOS 版本。如果客戶選擇不立即套用 BIOS 更新,或無法立即執行此動作,則應套用下列緩解措施。
BIOSConnect:
客戶可使用兩個選項的其中一個來停用 BIOSConnect 功能:
選項 1:客戶可從 BIOS 設定頁面 (F2) 停用 BIOSConnect。
注意:客戶可能會在不同的 BIOS 設定功能表介面底下找到 BIOSConnect 選項,視其平台型號而定。以下為 BIOS 設定功能表類型 A 和 BIOS 設定功能表類型 B。
BIOS 設定功能表類型 A:F2 > 更新、復原 > BIOSConnect > 切換至關閉。
BIOS 設定功能表類型 B:F2 > 設定 > SupportAssist 系統解析 > BIOSConnect > 取消勾選 BIOSConnect 選項。
選項 2:客戶可利用 Dell Command | Configure (DCC) 的遠端系統管理工具來停用 BIOSConnect BIOS 設定。
注意:Dell 建議客戶不要從 F12 執行「BIOS 快閃式記憶體更新 - 遠端」,直到系統更新為已補救的 BIOS 版本。
HTTPS 開機:
客戶可使用兩個選項的其中一個來停用 HTTPS 開機功能:
選項 1:客戶可從 BIOS 設定頁面 (F2) 停用 BIOSConnect。
BIOS 設定功能表類型 A:F2 > 連線 > HTTP(s) 開機 > 切換至關閉。
BIOS 設定功能表類型 B:F2 > 設定 > SupportAssist 系統解析 > BIOSConnect > 取消勾選 BIOSConnect 選項。
選項 2:客戶可利用 Dell Command | Configure (DCC) 的遠端系統管理工具來停用 HTTP 開機支援。
修訂歷史記錄
| 修訂版 | 日期 | 描述名稱 |
| 1.0 | 2021/06/24 | 初始版本 |
感謝
Dell 要感謝 Eclypsium 的 Mickey Shkatov 和 Jesse Michael 回報此問題。
相關資訊
法律免責聲明
受影響的產品
Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS產品
Product Security Information文章屬性
文章編號: 000188682
文章類型: Dell Security Advisory
上次修改時間: 05 11月 2025
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。