CVE識別子:CVE-2018-15774、CVE-2018-15776
重大度:
影響を受ける中規模製品:
- 2.61.60.60より前のバージョンのDell EMC iDRAC7/iDRAC8(CVE-2018-15774およびCVE-2018-15776)
- 3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23より前のバージョンのDell EMC iDRAC9(CVE-2018-15774)
概要:
対象システムを侵害する目的で悪用される可能性のある複数の脆弱性に対処するため、Dell EMC iDRACがアップデートされました。
詳細:
- 権限エスカレーションの脆弱性(CVE-2018-15774)
2.61.60.60より前のバージョンのDell EMC iDRAC7/iDRAC8、および3.20.21.20、3.21.24.22、3.21.26.22、3.23.23.23より前のバージョンのiDRAC9には、権限エスカレーションの脆弱性が存在します。オペレータ権限を持った悪意のある認証iDRACユーザーが、Redfishインターフェイスの権限チェック フローの欠陥を不正利用して、管理者アクセス権限を取得する可能性があります。
- 不適切なエラー処理の脆弱性(CVE-2018-15776)
2.61.60.60より前のバージョンのDell EMC iDRAC7/iDRAC8には、不適切なエラー処理の脆弱性が存在します。認証されていない攻撃者がシステムに物理的にアクセスし、この脆弱性を不正利用してUブート シェルにアクセスする可能性があります。
注:iDRACのその他のモデルは、前述の脆弱性の影響を受けません。
解決方法:
次のDell EMC iDRACファームウェア リリースに、これらの脆弱性に対する解決策が含まれています。
iDRAC |
iDRACファームウェア バージョン |
iDRAC9
|
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
注:公開日時点で利用可能。
Dell EMCではすべてのお客様に対して、可能な限り早急にアップグレードすることを推奨しています。
iDRACに関するDell EMCのベストプラクティス:
iDRACファームウェアを最新にすることに加えて、次の推奨事項にも注意してください。
- iDRACは、インターネットから利用したり接続するようには設計されておらず、またそのように意図されてもいません。独立した管理ネットワークで使用するように意図されています。iDRACをインターネットから利用するか、直接インターネットに接続した場合、接続したシステムがセキュリティーの問題を始めとするリスクにさらされる可能性があり、Dell EMCはこのことに関して責任を負いません。
- 独立した管理サブネットでiDRACを使用するのと同時に、ファイアウォールなどのテクノロジーを使用して管理サブネット/vLANを分離し、また管理サブネット/vLANへのアクセスは権限のあるサーバー管理者に限定するようにしてください。
- お客様は環境に関連する導入要因を考慮して全体的なリスクを評価することを、Dell EMCはお勧めします。
修正プログラムへのリンク:
お客様は、PowerEdgeサーバーおよびその他のすべてのプラットフォーム用のiDRACファームウェアをダウンロードすることができます。Dellサポート サイトでプラットフォームを選択してください。
クレジット:
CVE-2018-15776: Dell EMCは、この問題を報告していただいたJon TexasとAdam Nielsenに感謝します。
すべてのユーザは、この情報が自身の状況に当てはまるかどうかを確認して、適切なアクションを実行することを、Dell EMCはお勧めします。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。Dell EMCは、市販性、特定目的との適合性、権原、および非侵害の保証を含め、明示的または黙示的にかかわらず、すべての保証を放棄します。Dell EMCとそのサプライヤは、損害が生じる可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。