Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

DSA-2021-106: Sikkerhedsopdatering til Dell-klientplatform til flere sårbarheder i funktionerne BIOSConnect og HTTPS-start som en del af BIOS for Dell-klient

Summary: Dell udgiver afhjælpninger til flere sikkerhedssårbarheder, som berører funktionerne BIOSConnect og HTTPS-start.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Impact

High

Details

Navnebeskyttede CVE-koder Beskrivelse CVSS Basisscore CVSS Vektorstreng
CVE-2021-21571 Dell UEFI BIOS https-stakken, der er anvendes af Dell BIOSConnect-funktionen og Dell HTTPS-startfunktionen, indeholder en forkert sårbarhed vedrørende certifikatvalidering. En hacker med uautoriseret fjernadgang kan udnytte denne svaghed i et mellemmandsangreb, som kan medføre Denial-of-service og manipulation med nyttedata. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funktionen indeholder en sårbarhed over for bufferoverløb. En godkendt skadelig administratorbruger med lokal adgang til systemet kan muligvis udnytte denne sårbarhed til at køre vilkårlig kode og omgå UEFI-begrænsninger. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse af funktionerne Dell BIOSConnect og HTTPS-start:
  • Dell BIOSConnect-funktionen er en Dells preboot-løsning, der bruges til at opdatere system-BIOS og genoprette operativsystemet (OS) ved hjælp af SupportAssist OS Recovery på Dell-klientplatforme. Bemærk: BIOSConnect kræver en fysisk tilstedeværende bruger til at starte denne funktion. Kun et undersæt af platforme med BIOSConnect-funktionen påvirkes. Se tabellen under afsnittet Yderligere oplysninger herunder for at få oplysninger om berørte platforme.
  • Dell HTTPS-startfunktionen er en udvidelse til UEFI HTTP-startspecifikationerne til at starte fra en HTTP(S)-server. Bemærk: Denne funktion er som standard ikke konfigureret og kan kun konfigureres af en fysisk tilstedeværende bruger med lokale administratorrettigheder til operativsystemet. Derudover skal der være en bruger fysisk til stede for at starte funktionen, når den bruges sammen med trådløse netværk. Ikke alle platforme indeholder HTTPS-startfunktionen. Se tabellen under afsnittet Yderligere oplysninger herunder for at få en liste over berørte platforme.
Ovenstående sårbarheder er blevet rapporteret som en sårbarhedskæde. Sårbarhedskædens score er: 8,3 Høj CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Udnyttelse af kæden kræver yderligere trin:
  • For at kunne udnytte sårbarhedskæden i BIOSConnect skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, bruger BIOSConnect-funktionen.
  • For at kunne udnytte sårbarheden i HTTPS-start skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, ændrer startrækkefølgen og bruger BIOS HTTPS-startfunktionen.
Foruden at anvende afhjælpningerne herunder kan kunderne beskytte sig selv yderligere ved at følge bedste praksis for sikkerhed ved kun at benytte sikre netværk og forhindre uautoriseret lokal og fysisk adgang til enheder. Kunderne bør også aktivere platformsikkerhedsfunktioner som f.eks. Sikker opstart (aktiveret som standard for Dell-platforme med Windows) og BIOS-administratoradgangskode for yderligere beskyttelse.

Bemærk: Hvis Sikker opstart er deaktiveret, kan det påvirke den potentielle alvorsgrad, der er forbundet med sikkerhedssårbarheden CVE-2021-21571.
Navnebeskyttede CVE-koder Beskrivelse CVSS Basisscore CVSS Vektorstreng
CVE-2021-21571 Dell UEFI BIOS https-stakken, der er anvendes af Dell BIOSConnect-funktionen og Dell HTTPS-startfunktionen, indeholder en forkert sårbarhed vedrørende certifikatvalidering. En hacker med uautoriseret fjernadgang kan udnytte denne svaghed i et mellemmandsangreb, som kan medføre Denial-of-service og manipulation med nyttedata. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funktionen indeholder en sårbarhed over for bufferoverløb. En godkendt skadelig administratorbruger med lokal adgang til systemet kan muligvis udnytte denne sårbarhed til at køre vilkårlig kode og omgå UEFI-begrænsninger. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse af funktionerne Dell BIOSConnect og HTTPS-start:
  • Dell BIOSConnect-funktionen er en Dells preboot-løsning, der bruges til at opdatere system-BIOS og genoprette operativsystemet (OS) ved hjælp af SupportAssist OS Recovery på Dell-klientplatforme. Bemærk: BIOSConnect kræver en fysisk tilstedeværende bruger til at starte denne funktion. Kun et undersæt af platforme med BIOSConnect-funktionen påvirkes. Se tabellen under afsnittet Yderligere oplysninger herunder for at få oplysninger om berørte platforme.
  • Dell HTTPS-startfunktionen er en udvidelse til UEFI HTTP-startspecifikationerne til at starte fra en HTTP(S)-server. Bemærk: Denne funktion er som standard ikke konfigureret og kan kun konfigureres af en fysisk tilstedeværende bruger med lokale administratorrettigheder til operativsystemet. Derudover skal der være en bruger fysisk til stede for at starte funktionen, når den bruges sammen med trådløse netværk. Ikke alle platforme indeholder HTTPS-startfunktionen. Se tabellen under afsnittet Yderligere oplysninger herunder for at få en liste over berørte platforme.
Ovenstående sårbarheder er blevet rapporteret som en sårbarhedskæde. Sårbarhedskædens score er: 8,3 Høj CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Udnyttelse af kæden kræver yderligere trin:
  • For at kunne udnytte sårbarhedskæden i BIOSConnect skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, bruger BIOSConnect-funktionen.
  • For at kunne udnytte sårbarheden i HTTPS-start skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, ændrer startrækkefølgen og bruger BIOS HTTPS-startfunktionen.
Foruden at anvende afhjælpningerne herunder kan kunderne beskytte sig selv yderligere ved at følge bedste praksis for sikkerhed ved kun at benytte sikre netværk og forhindre uautoriseret lokal og fysisk adgang til enheder. Kunderne bør også aktivere platformsikkerhedsfunktioner som f.eks. Sikker opstart (aktiveret som standard for Dell-platforme med Windows) og BIOS-administratoradgangskode for yderligere beskyttelse.

Bemærk: Hvis Sikker opstart er deaktiveret, kan det påvirke den potentielle alvorsgrad, der er forbundet med sikkerhedssårbarheden CVE-2021-21571.
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

CVE-2021-21573 og CVE-2021-21574 blev afhjulpet i de BIOSConnect-relaterede komponenter på Dells back-end-servere den 28. maj 2021 og kræver ingen yderligere kundehandling.

CVE-2021-21571 og CVE-2021-21572 kræver BIOS-opdateringer til Dell-klienter for at afhjælpe sårbarhederne. Se tabellen under afsnittet Yderligere oplysninger for at finde ud af, hvilken version af den afhjulpne BIOS til Dell-klienten, der skal anvendes på dit system. Du kan opdatere BIOS til Dell-klienter på flere måder. Hvis du typisk bruger BIOSConnect til at opdatere din BIOS, anbefaler Dell, at du anvender en anden metode til at anvende BIOS-opdateringerne, f.eks. en af følgende: For de personer, der ikke kan anvende BIOS-opdateringer med det samme, har Dell også stillet en midlertidig afhjælpning til rådighed til at deaktivere funktionerne BIOSConnect og HTTPS-start. Se afsnittet nedenfor.
CVE-2021-21573 og CVE-2021-21574 blev afhjulpet i de BIOSConnect-relaterede komponenter på Dells back-end-servere den 28. maj 2021 og kræver ingen yderligere kundehandling.

CVE-2021-21571 og CVE-2021-21572 kræver BIOS-opdateringer til Dell-klienter for at afhjælpe sårbarhederne. Se tabellen under afsnittet Yderligere oplysninger for at finde ud af, hvilken version af den afhjulpne BIOS til Dell-klienten, der skal anvendes på dit system. Du kan opdatere BIOS til Dell-klienter på flere måder. Hvis du typisk bruger BIOSConnect til at opdatere din BIOS, anbefaler Dell, at du anvender en anden metode til at anvende BIOS-opdateringerne, f.eks. en af følgende: For de personer, der ikke kan anvende BIOS-opdateringer med det samme, har Dell også stillet en midlertidig afhjælpning til rådighed til at deaktivere funktionerne BIOSConnect og HTTPS-start. Se afsnittet nedenfor.

Følgende er en liste over påvirkede produkter og udgivelsesdatoer og minimumsversioner af BIOS-versioner, der skal anvendes:   
 

Produkt BIOS-opdateringsversion
(eller derover)
Understøtter BIOSConnect Understøtter HTTP(s)-start Udgivelsesdato (DD/MM/ÅÅÅÅ)
Forventet udgivelse (måned/ÅÅÅÅ)
Alienware m15 R6 1.3.3 Ja Ja 21-06-2021
ChengMing 3990 1.4.1 Ja Nej 23-06-2021
ChengMing 3991 1.4.1 Ja Nej 23-06-2021
Dell G15 5510 1.4.0 Ja Ja 21-06-2021
Dell G15 5511 1.3.3 Ja Ja 21-06-2021
Dell G3 3500 1.9.0 Ja Nej 24-06-2021
Dell G5 5500 1.9.0 Ja Nej 24-06-2021
Dell G7 7500 1.9.0 Ja Nej 23-06-2021
Dell G7 7700 1.9.0 Ja Nej 23-06-2021
Inspiron 14 5418 2.1.0 A06 Ja Ja 24-06-2021
Inspiron 15 5518 2.1.0 A06 Ja Ja 24-06-2021
Inspiron 15 7510 1.0.4 Ja Ja 23-06-2021
Inspiron 3501 1.6.0 Ja Nej 23-06-2021
Inspiron 3880 1.4.1 Ja Nej 23-06-2021
Inspiron 3881 1.4.1 Ja Nej 23-06-2021
Inspiron 3891 1.0.11 Ja Ja 24-06-2021
Inspiron 5300 1.7.1 Ja Nej 23-06-2021
Inspiron 5301 1.8.1 Ja Nej 23-06-2021
Inspiron 5310 2.1.0 Ja Ja 23-06-2021
Inspiron 5400 2n1 1.7.0 Ja Nej 23-06-2021
Inspiron 5400 AIO 1.4.0 Ja Nej 23-06-2021
Inspiron 5401 1.7.2 Ja Nej 23-06-2021
Inspiron 5401 AIO 1.4.0 Ja Nej 23-06-2021
Inspiron 5402 1.5.1 Ja Nej 23-06-2021
Inspiron 5406 2n1 1.5.1 Ja Nej 23-06-2021
Inspiron 5408 1.7.2 Ja Nej 23-06-2021
Inspiron 5409 1.5.1 Ja Nej 23-06-2021
Inspiron 5410 2-i-1 2.1.0 Ja Ja 23-06-2021
Inspiron 5501 1.7.2 Ja Nej 23-06-2021
Inspiron 5502 1.5.1 Ja Nej 23-06-2021
Inspiron 5508 1.7.2 Ja Nej 23-06-2021
Inspiron 5509 1.5.1 Ja Nej 23-06-2021
Inspiron 7300 1.8.1 Ja Nej 23-06-2021
Inspiron 7300 2n1 1.3.0 Ja Nej 23-06-2021
Inspiron 7306 2n1 1.5.1 Ja Nej 23-06-2021
Inspiron 7400 1.8.1 Ja Nej 23-06-2021
Inspiron 7500 1.8.0 Ja Nej 23-06-2021
Inspiron 7500 2n1 – sort 1.3.0 Ja Nej 23-06-2021
Inspiron 7500 2n1 – sølv 1.3.0 Ja Nej 23-06-2021
Inspiron 7501 1.8.0 Ja Nej 23-06-2021
Inspiron 7506 2n1 1.5.1 Ja Nej 23-06-2021
Inspiron 7610 1.0.4 Ja Ja 23-06-2021
Inspiron 7700 AIO 1.4.0 Ja Nej 23-06-2021
Inspiron 7706 2n1 1.5.1 Ja Nej 23-06-2021
Latitude 3120 1.1.0 Ja Nej 23-06-2021
Latitude 3320 1.4.0 Ja Ja 23-06-2021
Latitude 3410 1.9.0 Ja Nej 23-06-2021
Latitude 3420 1.8.0 Ja Nej 23-06-2021
Latitude 3510 1.9.0 Ja Nej 23-06-2021
Latitude 3520 1.8.0 Ja Nej 23-06-2021
Latitude 5310 1.7.0 Ja Nej 24-06-2021
Latitude 5310 2-i-1 1.7.0 Ja Nej 24-06-2021
Latitude 5320 1.7.1 Ja Ja 21-06-2021
Latitude 5320 2-i-1 1.7.1 Ja Ja 21-06-2021
Latitude 5410 1.6.0 Ja Nej 23-06-2021
Latitude 5411 1.6.0 Ja Nej 23-06-2021
Latitude 5420 1.8.0 Ja Ja 22-06-2021
Latitude 5510 1.6.0 Ja Nej 23-06-2021
Latitude 5511 1.6.0 Ja Nej 23-06-2021
Latitude 5520 1.7.1 Ja Ja 21-06-2021
Latitude 5521 1.3.0 A03 Ja Ja 22-06-2021
Latitude 7210 2-i-1 1.7.0 Ja Nej 23-06-2021
Latitude 7310 1.7.0 Ja Nej 23-06-2021
Latitude 7320 1.7.1 Ja Ja 23-06-2021
Latitude 7320 aftagelig 1.4.0 A04 Ja Ja 22-06-2021
Latitude 7410 1.7.0 Ja Nej 23-06-2021
Latitude 7420 1.7.1 Ja Ja 23-06-2021
Latitude 7520 1.7.1 Ja Ja 23-06-2021
Latitude 9410 1.7.0 Ja Nej 23-06-2021
Latitude 9420 1.4.1 Ja Ja 23-06-2021
Latitude 9510 1.6.0 Ja Nej 23-06-2021
Latitude 9520 1.5.2 Ja Ja 23-06-2021
Latitude 5421 1.3.0 A03 Ja Ja 22-06-2021
OptiPlex 3080 2.1.1 Ja Nej 23-06-2021
OptiPlex 3090 UFF 1.2.0 Ja Ja 23-06-2021
OptiPlex 3280 All-in-One 1.7.0 Ja Nej 23-06-2021
OptiPlex 5080 1.4.0 Ja Nej 23-06-2021
OptiPlex 5090 Tower 1.1.35 Ja Ja 23-06-2021
OptiPlex 5490 AIO 1.3.0 Ja Ja 24-06-2021
OptiPlex 7080 1.4.0 Ja Nej 23-06-2021
OptiPlex 7090 Tower 1.1.35 Ja Ja 23-06-2021
OptiPlex 7090 UFF 1.2.0 Ja Ja 23-06-2021
OptiPlex 7480 All-in-One 1.7.0 Ja Nej 23-06-2021
OptiPlex 7490 All-in-One 1.3.0 Ja Ja 24-06-2021
OptiPlex 7780 All-in-One 1.7.0 Ja Nej 23-06-2021
Precision 17 M5750 1.8.2 Ja Nej 09-06-2021
Precision 3440 1.4.0 Ja Nej 23-06-2021
Precision 3450 1.1.35 Ja Ja 24-06-2021
Precision 3550 1.6.0 Ja Nej 23-06-2021
Precision 3551 1.6.0 Ja Nej 23-06-2021
Precision 3560 1.7.1 Ja Ja 21-06-2021
Precision 3561 1.3.0 A03 Ja Ja 22-06-2021
Precision 3640 1.6.2 Ja Nej 23-06-2021
Precision 3650 MT 1.2.0 Ja Ja 24-06-2021
Precision 5550 1.8.1 Ja Nej 23-06-2021
Precision 5560 1.3.2 Ja Ja 23-06-2021
Precision 5760 1.1.3 Ja Ja 16-06-2021
Precision 7550 1.8.0 Ja Nej 23-06-2021
Precision 7560 1.1.2 Ja Ja 22-06-2021
Precision 7750 1.8.0 Ja Nej 23-06-2021
Precision 7760 1.1.2 Ja Ja 22-06-2021
Vostro 14 5410 2.1.0 A06 Ja Ja 24-06-2021
Vostro 15 5510 2.1.0 A06 Ja Ja 24-06-2021
Vostro 15 7510 1.0.4 Ja Ja 23-06-2021
Vostro 3400 1.6.0 Ja Nej 23-06-2021
Vostro 3500 1.6.0 Ja Nej 23-06-2021
Vostro 3501 1.6.0 Ja Nej 23-06-2021
Vostro 3681 2.4.0 Ja Nej 23-06-2021
Vostro 3690 1.0.11 Ja Ja 24-06-2021
Vostro 3881 2.4.0 Ja Nej 23-06-2021
Vostro 3888 2.4.0 Ja Nej 23-06-2021
Vostro 3890 1.0.11 Ja Ja 24-06-2021
Vostro 5300 1.7.1 Ja Nej 23-06-2021
Vostro 5301 1.8.1 Ja Nej 23-06-2021
Vostro 5310 2.1.0 Ja Ja 23-06-2021
Vostro 5401 1.7.2 Ja Nej 23-06-2021
Vostro 5402 1.5.1 Ja Nej 23-06-2021
Vostro 5501 1.7.2 Ja Nej 23-06-2021
Vostro 5502 1.5.1 Ja Nej 23-06-2021
Vostro 5880 1.4.0 Ja Nej 23-06-2021
Vostro 5890 1.0.11 Ja Ja 24-06-2021
Vostro 7500 1.8.0 Ja Nej 23-06-2021
XPS 13 9305 1.0.8 Ja Nej 23-06-2021
XPS 13 2in1 9310 2.3.3 Ja Nej 23-06-2021
XPS 13 9310 3.0.0 Ja Nej 24-06-2021
XPS 15 9500 1.8.1 Ja Nej 23-06-2021
XPS 15 9510 1.3.2 Ja Ja 23-06-2021
XPS 17 9700 1.8.2 Ja Nej 09-06-2021
XPS 17 9710 1.1.3 Ja Ja 15-06-2021

Workarounds & Mitigations

Dell anbefaler, at alle kunder opdaterer til den nyeste BIOS-version til Dell-klienten så hurtigt som muligt. Kunder, der vælger ikke at anvende BIOS-opdateringer med det samme, eller som af andre årsager ikke har mulighed for at gøre det nu, bør anvende nedenstående afhjælpning.

BIOSConnect:

Kunderne kan deaktivere BIOSConnect-funktionen ved hjælp af en af to muligheder:
Valgmulighed 1: Kunderne kan deaktivere BIOSConnect på BIOS-konfigurationssiden (F2).
Bemærk: Kunderne kan finde BIOSConnect-indstillingen i forskellige grænseflader for BIOS-konfigurationsmenuer afhængig af deres platformmodel. Disse kan ses nedenfor som BIOS-konfigurationsmenu Type A og BIOS-konfigurationsmenu Type B.
BIOS-konfigurationsmenu Type A: F2 > Update, Recovery > BIOSConnect > skift til Off.
BIOS-konfigurationsmenu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > fjern markering af BIOSConnect-indstilling.
 
Valgmulighed 2: Kunder kan benytte værktøjet til fjernsystemadministration fra Dell Command | Configure (DCC) til at deaktivere BIOSConnect BIOS-indstillingerne.
 
Bemærk: Dell anbefaler, at kunder ikke kører "BIOS flash Update - Remote" fra F12, før systemet er blevet opdateret med en afhjulpet version af BIOS.

HTTPS-start:
Kunderne kan deaktivere HTTPS-startfunktionen ved hjælp af en af to muligheder:
Valgmulighed 1: Kunderne kan deaktivere BIOSConnect på BIOS-konfigurationssiden (F2).
BIOS-konfigurationsmenu Type A: F2 > Connection > HTTP(s) Boot > Skift til Off.
BIOS-konfigurationsmenu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > fjern markering af BIOSConnect-indstilling.
Valgmulighed 2: Kunder kan benytte værktøjet til fjernsystemadministration fra Dell Command | Configure (DCC) til at deaktivere understøttelse af HTTP-start.

Revision History

RevisionDatoBeskrivelse
1.024-06-2021Første version

Acknowledgements

Dell vil gerne takke Mickey Shkatov og Jesse Michael fra Eclypsium for at have rapporteret dette problem.

Related Information

Affected Products

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Products

Product Security Information
Article Properties
Article Number: 000188682
Article Type: Dell Security Advisory
Last Modified: 15 Sep 2021
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.