Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Kilka luk w kontrolerze iDRAC Dell EMC (CVE-2018-15774 i CVE-2018-15776)

Summary: Wytyczne firmy Dell EMC mające na celu ograniczenie ryzyka i rozwiązania wielu luk kontrolerów iDRAC. Szczegółowe informacje na temat wersji kontrolera iDRAC, których dotyczy problem, i opis procedury instalacji aktualizacji można znaleźć w tym przewodniku. ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Identyfikator CVE: CVE-2018-15774, CVE-2018-15776

Poziom ważności: Średnie

produkty, których dotyczy problem:
  • Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 (CVE-2018-15774 i CVE-2018-15776)
  • Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.20.21.20, 3.21.24.22, 3.21.26.22 i 3.23.23.23 (CVE-2018-15774)
Streszczenie
Kontroler iDRAC Dell EMC został zaktualizowany w celu wyeliminowania wielu luk, które mogą być potencjalnie wykorzystane do zaatakowania systemów, których dotyczy problem.
 
Szczegóły
  • Luka umożliwiająca uzyskanie podwyższonych uprawnień (CVE-2018-15774)
Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 i wersje kontrolera iDRAC9 wcześniejsze niż 3.20.21.20, 3.21.24.22, 3.21.26.22 i 3.23.23.23 zawierają lukę umożliwiająca uzyskanie podwyższonych uprawnień. Uwierzytelniony złośliwy użytkownik iDRAC z uprawnieniami operatora może potencjalnie wykorzystać błąd związany z kontrolą uprawnień w interfejsie Redfish w celu uzyskania dostępu administratora.
 
 
  • Luka powodująca nieprawidłową obsługę błędów (CVE-2018-15776)
Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 zawierają lukę powodującą nieprawidłową obsługę błędów. Nieuwierzytelniony atakujący z fizycznym dostępem do systemu może potencjalnie wykorzystać tę lukę, aby uzyskać dostęp do powłoki u-boot.
 
SLN315190_en_US__1icon Uwaga: Inne modele kontrolera iDRAC nie są zagrożone lukami opisanymi powyżej.

Rozwiązanie:   
Poniższe wersje oprogramowania układowego kontrolera iDRAC Dell EMC zawierają rozwiązania tych luk:

 
iDRAC Wersja oprogramowania układowego iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Uwaga: Dostępne w dniu publikacji.

Firma Dell EMC zaleca wszystkim klientom jak najszybszą aktualizację. 

Najlepsze praktyki Dell EMC Best związane z kontrolerem iDRAC:

Poza korzystaniem z aktualnego oprogramowania układowego kontrolera iDRAC firma Dell EMC zaleca również:

  • Kontrolery iDRAC nie zostały zaprojektowane ani nie są przeznaczone do działania w Internecie ani nawiązywania z nim połączenia; zostały stworzone z myślą o pracy w oddzielnej sieci zarządzania. Połączenie kontrolerów iDRAC bezpośrednio do Internetu może narazić podłączony system na zagrożenia związane z bezpieczeństwem i inne zagrożenia, za które firma Dell EMC nie ponosi odpowiedzialności.  
  • Wraz z umieszczeniem kontrolerów iDRAC w oddzielnej podsieci zarządzania użytkownicy powinni odizolować podsieć zarządzania/vLAN za pomocą technologii takich jak zapory sieciowe oraz ograniczyć dostęp do podsieci/vLAN do uprawnionych administratorów serwerów.
  • Firma Dell EMC zaleca, aby przy ocenie ryzyka klienci uwzględnili wszelkie czynniki związane z wdrożeniem w określonym środowisku.

Łącze do rozwiązań:

Klienci mogą pobrać oprogramowanie układowe iDRAC dla serwerów PowerEdge i dla wszystkich innych platform — należy wybrać platformę z witryny pomocy technicznej firmy Dell.


Podziękowania:

CVE-2018-15776: Firma Dell EMC pragnie podziękować Jonowi Sandsowi i Adamowi Nielsenowi za zgłoszenie problemu.

Firma Dell EMC zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell EMC nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell EMC ani jej dostawcy nie ponoszą odpowiedzialności za żadne szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell EMC lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Cause

 

Resolution


Affected Products

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910