CVE-tunniste: CVE-2018-15774, CVE-2018-15776-
vakavuusaste: Keskitason
tuotteet, joita ongelma koskee:
- Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio (CVE-2018-15774 ja CVE-2018-15776)
- Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin 3.20.21.20-, 3.21.24.22-, 3.21.26.22- ja 3.23.23.23-versio (CVE-2018-15774)
Yhteenveto:
Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.
Tiedot:
- Oikeuksien laajentumishaavoittuvuus (CVE-2018-15774)
Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio, ja iDRAC9-versiot, jotka ovat vanhempia kuin 3.20.21.20-, 3.21.24.22-, 3.21.26.22- ja 3.23.23.23-versiot, sisältävät oikeuksien laajentumishaavoittuvuuden. Todennettu iDRAC-käyttäjä, jolla on käyttäjän oikeudet, voi mahdollisesti hyödyntää Redfish-liittymän oikeuksien tarkistusvirhettä ja saada itselleen järjestelmänvalvojan oikeudet.
- Virheellisen virheenkäsittelyn haavoittuvuus (CVE-2018-15776)
Dell EMC iDRAC7-/iDRAC8-versiot, jotka ovat vanhempia kuin 2.61.60.60-versio, sisältävät virheelliseen virheenkäsittelyyn liittyvän haavoittuvuuden. Todentamaton hyökkääjä, joka pääsee fyysisesti käsiksi järjestelmään, pystyy mahdollisesti hyödyntämään tätä haavoittuvuutta ja pääsemään käsiksi U-Boot-liittymään.
![SLN315190_en_US__1icon](https://supportkb.dell.com/img/ka06P000000g3OEQAY/ka06P000000g3OEQAY_fi_1.jpeg)
Huomautus: Edellä mainitut haavoittuvuudet eivät vaikuta muihin iDRAC-malleihin.
Ratkaisu:
Seuraavat Dell EMC iDRAC -laiteohjelmistojulkaisut sisältävät korjauksen näihin haavoittuvuuksiin:
iDRAC |
iDRAC-laiteohjelmistoversio |
iDRAC9
|
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
![SLN315190_en_US__1icon](https://supportkb.dell.com/img/ka06P000000g3OEQAY/ka06P000000g3OEQAY_fi_2.jpeg)
Huomautus: Saatavilla julkaisupäivästä alkaen.
Dell EMC suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian.
Dell EMC:n parhaat iDRAC-käytännöt:
Dell EMC suosittelee iDRAC-laiteohjelmiston pitämistä ajan tasalla ja lisäksi seuraavia:
- iDRAC-ohjauskoneita ei ole tarkoitettu sijoitettaviksi Internetiin tai olemaan yhteydessä Internetiin. Ne on tarkoitus sijoittaa erilliseen hallintaverkkoon. iDRAC-ohjauskoneiden sijoittaminen tai yhdistäminen suoraan Internetiin voi altistaa yhdistetyn järjestelmän suojausriskeille ja muille riskeille, joista Dell EMC ei ole vastuussa.
- Käyttäjien on sijoitettava iDRAC-ohjauskoneet erilliseen hallinta-aliverkkoon ja lisäksi eristettävä hallinta-aliverkko/vLAN esimerkiksi palomuurin kaltaisilla tekniikoilla ja rajoitettava aliverkon/vLAN-verkon käyttöoikeus valtuutetuille palvelinten järjestelmänvalvojille.
- Dell EMC suosittelee, että asiakkaat huomioivat riskiä arvioidessaan mahdolliset ympäristöä koskevat käyttöönottotekijät.
Linkki korjauksiin:
Asiakkaat voivat ladata iDRAC-laiteohjelmiston PowerEdge-palvelimille ja kaikille muille ympäristöille. Valitse ympäristö Dellin tukisivustossa.
Kiitokset:
CVE-2018-15776: Dell EMC kiittää Dell Sandsia ja Adam Ergonomia, jotka ovat ilmoittaneet tästä ongelmasta meille.
Dell EMC suosittelee, että kaikki käyttäjät määrittävät näiden tietojen soveltuvuuden omaan tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell EMC sanoutuu irti kaikista nimenomaisista tai oletetuista takuista, mukaan lukien takuut myyntikelpoisuudesta, soveltuvuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell EMC tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dell EMC:lle tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, joten edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.