Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

DSA-2021-106 : mise à jour de sécurité de la plate-forme client Dell pour plusieurs vulnérabilités identifiées dans les fonctionnalités BIOSConnect et HTTPS Boot du BIOS du client Dell

Summary: Dell a publié plusieurs mesures correctives visant à corriger des failles de sécurité affectant les fonctionnalités BIOSConnect et HTTPS Boot.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Impact

High

Details

Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2021-21571 La pile HTTPS du BIOS UEFI Dell utilisée par les fonctionnalités Dell BIOSConnect et Dell HTTPS Boot contient une vulnérabilité associée à une validation de certificat incorrecte. Un pirate non authentifié peut exploiter cette vulnérabilité à distance en utilisant une attaque de l’homme du milieu (ou « man-in-the-middle »), qui peut entraîner un déni de service et une altération de la charge utile. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
La fonctionnalité Dell BIOSConnect contient une vulnérabilité liée à un débordement de la mémoire tampon. Un utilisateur admin malveillant qui dispose d’un accès local au système peut potentiellement exploiter cette vulnérabilité afin d’exécuter un code arbitraire et de contourner les restrictions UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Description des fonctionnalités Dell BIOSConnect et HTTPS Boot :
  • La fonctionnalité Dell BIOSConnect est une solution de prédémarrage Dell qui permet de mettre à jour le BIOS système et de restaurer le système d’exploitation à l’aide de SupportAssist OS Recovery sur les plates-formes client Dell. Remarque : un utilisateur doit être présent physiquement pour lancer la fonctionnalité BIOSConnect. Seules quelques plates-formes dotées de la fonctionnalité BIOSConnect sont concernées. Reportez-vous au tableau de la section Informations supplémentaires ci-dessous pour connaître les plates-formes affectées par cette vulnérabilité.
  • La fonctionnalité Dell HTTPS Boot est une extension des spécifications UEFI HTTP Boot utilisées pour démarrer à partir d’un serveur HTTP(s). Remarque : cette fonctionnalité n’est pas configurée par défaut ; pour la configurer, un utilisateur disposant de droits d’administrateur du système d’exploitation local doit être physiquement présent. Un utilisateur doit être également présent physiquement pour lancer la fonctionnalité lorsqu’elle est utilisée avec des réseaux sans fil. Toutes les plates-formes ne contiennent pas la fonctionnalité HTTPS Boot. Reportez-vous au tableau de la section Informations supplémentaires ci-dessous pour obtenir la liste des plates-formes affectées par cette vulnérabilité.
Les vulnérabilités ci-dessus ont été signalées sous la forme d’une chaîne de vulnérabilités. Le score cumulé de la chaîne de vulnérabilités est le suivant : 8.3 Élevé CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Pour exploiter cette chaîne, les étapes ci-dessous sont nécessaires :
  • Pour exploiter efficacement la chaîne de vulnérabilités dans BIOSConnect, un acteur malveillant doit suivre certaines étapes supplémentaires une à une, à savoir : s’introduire dans le réseau d’un utilisateur, obtenir un certificat approuvé par l’une des autorités de certification intégrées dans la pile HTTPS du BIOS UEFI Dell et attendre qu’un utilisateur se trouve physiquement sur le système pour utiliser la fonctionnalité BIOSConnect.
  • Pour exploiter efficacement la vulnérabilité identifiée dans la fonctionnalité HTTPS Boot, un acteur malveillant doit suivre certaines étapes supplémentaires une à une, à savoir : s’introduire dans le réseau d’un utilisateur, obtenir un certificat approuvé par l’une des autorités de certification intégrées dans la pile HTTPS du BIOS UEFI Dell et attendre qu’un utilisateur se trouve physiquement sur le système pour modifier la séquence de démarrage et utiliser la fonctionnalité HTTPS Boot.
Outre l’application des mesures correctives ci-dessous, les clients peuvent se protéger davantage en suivant les bonnes pratiques de sécurité qui consistent à utiliser uniquement des réseaux sécurisés et à empêcher tout accès local et physique non autorisé aux appareils. Pour renforcer leur niveau de protection, les clients doivent également activer les fonctionnalités de sécurité de la plate-forme, telles que Secure Boot (activée par défaut pour les plates-formes Dell sous Windows), ainsi que le mot de passe d’administrateur du BIOS.

Remarque : la désactivation de Secure Boot peut avoir un impact sur la gravité potentielle associée à la faille de sécurité CVE-2021-21571.
Code propriétaire CVE Description Score de base CVSS Chaîne CVSS
CVE-2021-21571 La pile HTTPS du BIOS UEFI Dell utilisée par les fonctionnalités Dell BIOSConnect et Dell HTTPS Boot contient une vulnérabilité associée à une validation de certificat incorrecte. Un pirate non authentifié peut exploiter cette vulnérabilité à distance en utilisant une attaque de l’homme du milieu (ou « man-in-the-middle »), qui peut entraîner un déni de service et une altération de la charge utile. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
La fonctionnalité Dell BIOSConnect contient une vulnérabilité liée à un débordement de la mémoire tampon. Un utilisateur admin malveillant qui dispose d’un accès local au système peut potentiellement exploiter cette vulnérabilité afin d’exécuter un code arbitraire et de contourner les restrictions UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Description des fonctionnalités Dell BIOSConnect et HTTPS Boot :
  • La fonctionnalité Dell BIOSConnect est une solution de prédémarrage Dell qui permet de mettre à jour le BIOS système et de restaurer le système d’exploitation à l’aide de SupportAssist OS Recovery sur les plates-formes client Dell. Remarque : un utilisateur doit être présent physiquement pour lancer la fonctionnalité BIOSConnect. Seules quelques plates-formes dotées de la fonctionnalité BIOSConnect sont concernées. Reportez-vous au tableau de la section Informations supplémentaires ci-dessous pour connaître les plates-formes affectées par cette vulnérabilité.
  • La fonctionnalité Dell HTTPS Boot est une extension des spécifications UEFI HTTP Boot utilisées pour démarrer à partir d’un serveur HTTP(s). Remarque : cette fonctionnalité n’est pas configurée par défaut ; pour la configurer, un utilisateur disposant de droits d’administrateur du système d’exploitation local doit être physiquement présent. Un utilisateur doit être également présent physiquement pour lancer la fonctionnalité lorsqu’elle est utilisée avec des réseaux sans fil. Toutes les plates-formes ne contiennent pas la fonctionnalité HTTPS Boot. Reportez-vous au tableau de la section Informations supplémentaires ci-dessous pour obtenir la liste des plates-formes affectées par cette vulnérabilité.
Les vulnérabilités ci-dessus ont été signalées sous la forme d’une chaîne de vulnérabilités. Le score cumulé de la chaîne de vulnérabilités est le suivant : 8.3 Élevé CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Pour exploiter cette chaîne, les étapes ci-dessous sont nécessaires :
  • Pour exploiter efficacement la chaîne de vulnérabilités dans BIOSConnect, un acteur malveillant doit suivre certaines étapes supplémentaires une à une, à savoir : s’introduire dans le réseau d’un utilisateur, obtenir un certificat approuvé par l’une des autorités de certification intégrées dans la pile HTTPS du BIOS UEFI Dell et attendre qu’un utilisateur se trouve physiquement sur le système pour utiliser la fonctionnalité BIOSConnect.
  • Pour exploiter efficacement la vulnérabilité identifiée dans la fonctionnalité HTTPS Boot, un acteur malveillant doit suivre certaines étapes supplémentaires une à une, à savoir : s’introduire dans le réseau d’un utilisateur, obtenir un certificat approuvé par l’une des autorités de certification intégrées dans la pile HTTPS du BIOS UEFI Dell et attendre qu’un utilisateur se trouve physiquement sur le système pour modifier la séquence de démarrage et utiliser la fonctionnalité HTTPS Boot.
Outre l’application des mesures correctives ci-dessous, les clients peuvent se protéger davantage en suivant les bonnes pratiques de sécurité qui consistent à utiliser uniquement des réseaux sécurisés et à empêcher tout accès local et physique non autorisé aux appareils. Pour renforcer leur niveau de protection, les clients doivent également activer les fonctionnalités de sécurité de la plate-forme, telles que Secure Boot (activée par défaut pour les plates-formes Dell sous Windows), ainsi que le mot de passe d’administrateur du BIOS.

Remarque : la désactivation de Secure Boot peut avoir un impact sur la gravité potentielle associée à la faille de sécurité CVE-2021-21571.
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

Les vulnérabilités CVE-2021-21573 et CVE-2021-21574 ont été corrigées sur les composants liés à BIOSConnect des serveurs back-end Dell le 28 mai 2021 et ne nécessitent aucune action supplémentaire de la part du client.

Pour corriger les vulnérabilités CVE-2021-21571 et CVE-2021-21572, il est nécessaire de mettre à jour le BIOS du client Dell. Reportez-vous au tableau de la section informations supplémentaires pour déterminer la version corrigée du BIOS du client Dell qu’il convient d’appliquer à votre système. Il existe plusieurs façons de mettre à jour le BIOS de votre client Dell. Si vous utilisez habituellement BIOSConnect pour mettre à jour votre BIOS, Dell vous conseille d’utiliser une autre méthode pour appliquer les mises à jour du BIOS. Par exemple : Si vous ne pouvez pas appliquer immédiatement les mises à jour du BIOS, Dell met également à votre disposition une solution provisoire qui vous permet de désactiver les fonctionnalités BIOSConnect et HTTPS Boot. Pour en savoir plus, reportez-vous à la section ci-dessous.
Les vulnérabilités CVE-2021-21573 et CVE-2021-21574 ont été corrigées sur les composants liés à BIOSConnect des serveurs back-end Dell le 28 mai 2021 et ne nécessitent aucune action supplémentaire de la part du client.

Pour corriger les vulnérabilités CVE-2021-21571 et CVE-2021-21572, il est nécessaire de mettre à jour le BIOS du client Dell. Reportez-vous au tableau de la section informations supplémentaires pour déterminer la version corrigée du BIOS du client Dell qu’il convient d’appliquer à votre système. Il existe plusieurs façons de mettre à jour le BIOS de votre client Dell. Si vous utilisez habituellement BIOSConnect pour mettre à jour votre BIOS, Dell vous conseille d’utiliser une autre méthode pour appliquer les mises à jour du BIOS. Par exemple : Si vous ne pouvez pas appliquer immédiatement les mises à jour du BIOS, Dell met également à votre disposition une solution provisoire qui vous permet de désactiver les fonctionnalités BIOSConnect et HTTPS Boot. Pour en savoir plus, reportez-vous à la section ci-dessous.

Vous trouverez ci-dessous une liste des produits affectés, accompagnée des dates de publication et des versions minimales du BIOS à appliquer :   
 

Product (Produit) Version de la mise à jour du BIOS
(ou version ultérieure)
Prise en charge de BIOSConnect Prise en charge de HTTP(s) Boot Date de publication (JJ/MM/AAAA)
Publication prévue (mois/aaaa)
Alienware m15 R6 1.3.3 Oui Oui 21 juin 2021
ChengMing 3990 1.4.1 Oui Aucune 23 juin 2021
ChengMing 3991 1.4.1 Oui Aucune 23 juin 2021
Dell G15 5510 1.4.0 Oui Oui 21 juin 2021
Dell G15 5511 1.3.3 Oui Oui 21 juin 2021
Dell G3 3500 1.9.0 Oui Aucune 24 juin 2021
Dell G5 5500 1.9.0 Oui Aucune 24 juin 2021
Dell G7 7500 1.9.0 Oui Aucune 23 juin 2021
Dell G7 7700 1.9.0 Oui Aucune 23 juin 2021
Inspiron 14 5418 2.1.0 A06 Oui Oui 24 juin 2021
Inspiron 15 5518 2.1.0 A06 Oui Oui 24 juin 2021
Inspiron 15 7510 1.0.4 Oui Oui 23 juin 2021
Inspiron 3501 1.6.0 Oui Aucune 23 juin 2021
Inspiron 3880 1.4.1 Oui Aucune 23 juin 2021
Inspiron 3881 1.4.1 Oui Aucune 23 juin 2021
Inspiron 3891 1.0.11 Oui Oui 24 juin 2021
Inspiron 5300 1.7.1 Oui Aucune 23 juin 2021
Inspiron 5301 1.8.1 Oui Aucune 23 juin 2021
Inspiron 5310 2.1.0 Oui Oui 23 juin 2021
Inspiron 5400 2-en-1 1.7.0 Oui Aucune 23 juin 2021
Inspiron 5400 AIO 1.4.0 Oui Aucune 23 juin 2021
Inspiron 5401 1.7.2 Oui Aucune 23 juin 2021
Inspiron 5401 AIO 1.4.0 Oui Aucune 23 juin 2021
Inspiron 5402 1.5.1 Oui Aucune 23 juin 2021
Inspiron 5406 2-en-1 1.5.1 Oui Aucune 23 juin 2021
Inspiron 5408 1.7.2 Oui Aucune 23 juin 2021
Inspiron 5409 1.5.1 Oui Aucune 23 juin 2021
Inspiron 5410 2-en-1 2.1.0 Oui Oui 23 juin 2021
Inspiron 5501 1.7.2 Oui Aucune 23 juin 2021
Inspiron 5502 1.5.1 Oui Aucune 23 juin 2021
Inspiron 5508 1.7.2 Oui Aucune 23 juin 2021
Inspiron 5509 1.5.1 Oui Aucune 23 juin 2021
Inspiron 7300 1.8.1 Oui Aucune 23 juin 2021
Inspiron 7300 2-en-1 1.3.0 Oui Aucune 23 juin 2021
Inspiron 7306 2-en-1 1.5.1 Oui Aucune 23 juin 2021
Inspiron 7400 1.8.1 Oui Aucune 23 juin 2021
Inspiron 7500 1.8.0 Oui Aucune 23 juin 2021
Inspiron 7500 2-en-1 - Noir 1.3.0 Oui Aucune 23 juin 2021
Inspiron 7500 2-en-1 - Argent 1.3.0 Oui Aucune 23 juin 2021
Inspiron 7501 1.8.0 Oui Aucune 23 juin 2021
Inspiron 7506 2-en-1 1.5.1 Oui Aucune 23 juin 2021
Inspiron 7610 1.0.4 Oui Oui 23 juin 2021
Inspiron 7700 AIO 1.4.0 Oui Aucune 23 juin 2021
Inspiron 7706 2-en-1 1.5.1 Oui Aucune 23 juin 2021
Latitude 3120 1.1.0 Oui Aucune 23 juin 2021
Latitude 3320 1.4.0 Oui Oui 23 juin 2021
Latitude 3410 1.9.0 Oui Aucune 23 juin 2021
Latitude 3420 1.8.0 Oui Aucune 23 juin 2021
Latitude 3510 1.9.0 Oui Aucune 23 juin 2021
Latitude 3520 1.8.0 Oui Aucune 23 juin 2021
Latitude 5310 1.7.0 Oui Aucune 24 juin 2021
Latitude 5310 2-en-1 1.7.0 Oui Aucune 24 juin 2021
Latitude 5320 1.7.1 Oui Oui 21 juin 2021
Latitude 5320 2-en-1 1.7.1 Oui Oui 21 juin 2021
Latitude 5410 1.6.0 Oui Aucune 23 juin 2021
Latitude 5411 1.6.0 Oui Aucune 23 juin 2021
Latitude 5420 1.8.0 Oui Oui 22 juin 2021
Latitude 5510 1.6.0 Oui Aucune 23 juin 2021
Latitude 5511 1.6.0 Oui Aucune 23 juin 2021
Latitude 5520 1.7.1 Oui Oui 21 juin 2021
Latitude 5521 1.3.0 A03 Oui Oui 22 juin 2021
Latitude 7210 2-en-1 1.7.0 Oui Aucune 23 juin 2021
Latitude 7310 1.7.0 Oui Aucune 23 juin 2021
Latitude 7320 1.7.1 Oui Oui 23 juin 2021
Latitude 7320 détachable 1.4.0 A04 Oui Oui 22 juin 2021
Latitude 7410 1.7.0 Oui Aucune 23 juin 2021
Latitude 7420 1.7.1 Oui Oui 23 juin 2021
Latitude 7520 1.7.1 Oui Oui 23 juin 2021
Latitude 9410 1.7.0 Oui Aucune 23 juin 2021
Latitude 9420 1.4.1 Oui Oui 23 juin 2021
Latitude 9510 1.6.0 Oui Aucune 23 juin 2021
Latitude 9520 1.5.2 Oui Oui 23 juin 2021
Latitude 5421 1.3.0 A03 Oui Oui 22 juin 2021
OptiPlex 3080 2.1.1 Oui Aucune 23 juin 2021
OptiPlex 3090 UFF 1.2.0 Oui Oui 23 juin 2021
OptiPlex 3280 tout-en-un 1.7.0 Oui Aucune 23 juin 2021
OptiPlex 5080 1.4.0 Oui Aucune 23 juin 2021
Tour OptiPlex 5090 1.1.35 Oui Oui 23 juin 2021
OptiPlex 5490 AIO 1.3.0 Oui Oui 24 juin 2021
OptiPlex 7080 1.4.0 Oui Aucune 23 juin 2021
Tour OptiPlex 7090 1.1.35 Oui Oui 23 juin 2021
OptiPlex 7090 UFF 1.2.0 Oui Oui 23 juin 2021
OptiPlex 7480 All-in-One 1.7.0 Oui Aucune 23 juin 2021
OptiPlex 7490 All-in-One 1.3.0 Oui Oui 24 juin 2021
OptiPlex 7780 All-in-One 1.7.0 Oui Aucune 23 juin 2021
Precision 17 M5750 1.8.2 Oui Aucune 9 juin 2021
Precision 3440 1.4.0 Oui Aucune 23 juin 2021
Precision 3450 1.1.35 Oui Oui 24 juin 2021
Precision 3550 1.6.0 Oui Aucune 23 juin 2021
Precision 3551 1.6.0 Oui Aucune 23 juin 2021
Precision 3560 1.7.1 Oui Oui 21 juin 2021
Precision 3561 1.3.0 A03 Oui Oui 22 juin 2021
Precision 3640 1.6.2 Oui Aucune 23 juin 2021
Precision 3650 MT 1.2.0 Oui Oui 24 juin 2021
Precision 5550 1.8.1 Oui Aucune 23 juin 2021
Precision 5560 1.3.2 Oui Oui 23 juin 2021
Precision 5760 1.1.3 Oui Oui 16 juin 2021
Precision 7550 1.8.0 Oui Aucune 23 juin 2021
Precision 7560 1.1.2 Oui Oui 22 juin 2021
Precision 7750 1.8.0 Oui Aucune 23 juin 2021
Precision 7760 1.1.2 Oui Oui 22 juin 2021
Vostro 14 5410 2.1.0 A06 Oui Oui 24 juin 2021
Vostro 15 5510 2.1.0 A06 Oui Oui 24 juin 2021
Vostro 15 7510 1.0.4 Oui Oui 23 juin 2021
Vostro 3400 1.6.0 Oui Aucune 23 juin 2021
Vostro 3500 1.6.0 Oui Aucune 23 juin 2021
Vostro 3501 1.6.0 Oui Aucune 23 juin 2021
Vostro 3681 2.4.0 Oui Aucune 23 juin 2021
Vostro 3690 1.0.11 Oui Oui 24 juin 2021
Vostro 3881 2.4.0 Oui Aucune 23 juin 2021
Vostro 3888 2.4.0 Oui Aucune 23 juin 2021
Vostro 3890 1.0.11 Oui Oui 24 juin 2021
Vostro 5300 1.7.1 Oui Aucune 23 juin 2021
Vostro 5301 1.8.1 Oui Aucune 23 juin 2021
Vostro 5310 2.1.0 Oui Oui 23 juin 2021
Vostro 5401 1.7.2 Oui Aucune 23 juin 2021
Vostro 5402 1.5.1 Oui Aucune 23 juin 2021
Vostro 5501 1.7.2 Oui Aucune 23 juin 2021
Vostro 5502 1.5.1 Oui Aucune 23 juin 2021
Vostro 5880 1.4.0 Oui Aucune 23 juin 2021
Vostro 5890 1.0.11 Oui Oui 24 juin 2021
Vostro 7500 1.8.0 Oui Aucune 23 juin 2021
XPS 13 9305 1.0.8 Oui Aucune 23 juin 2021
XPS 13 2-en-1 9310 2.3.3 Oui Aucune 23 juin 2021
XPS 13 9310 3.0.0 Oui Aucune 24 juin 2021
XPS 15 9500 1.8.1 Oui Aucune 23 juin 2021
XPS 15 9510 1.3.2 Oui Oui 23 juin 2021
XPS 17 9700 1.8.2 Oui Aucune 9 juin 2021
XPS 17 9710 1.1.3 Oui Oui 15 juin 2021

Workarounds & Mitigations

Dell recommande d’effectuer dès que possible une mise à jour vers la dernière version du BIOS du client Dell. Les clients qui choisissent de ne pas appliquer immédiatement les mises à jour du BIOS ou qui ne sont pas en mesure de le faire sont invités à suivre les étapes correctives décrites ci-dessous.

BIOSConnect :

Les clients peuvent désactiver la fonctionnalité BIOSConnect de l’une des deux manières suivantes :
Option 1 : Les clients peuvent désactiver BIOSConnect à partir de la page de configuration du BIOS (F2).
Remarque : en fonction du modèle de plate-forme, l’option BIOSConnect peut être accessible à partir d’une autre interface du menu de configuration du BIOS. Ces variations sont représentées ci-dessous par le menu de configuration du BIOS Type A et le menu de configuration du BIOS Type B.
Menu de configuration du BIOS Type A : F2 > Update, Recovery > BIOSConnect > définir sur Off.
Menu de configuration du BIOS Type B : F2 > Settings > SupportAssist System Resolution > BIOSConnect > décocher l’option BIOSConnect.
 
Option 2 : Les clients peuvent utiliser l’outil de gestion des systèmes distants de Dell Command | Configure (DCC) pour désactiver les paramètres du BIOS BIOSConnect.
 
Remarque : Dell recommande aux clients de ne pas exécuter l’option « BIOS Flash Update - Remote » à l’aide de la touche F12 tant que le système n’a pas été mis à jour avec une version corrigée du BIOS.

HTTPS Boot :
Les clients peuvent désactiver la fonctionnalité HTTPS Boot de l’une des deux manières suivantes :
Option 1 : Les clients peuvent désactiver BIOSConnect à partir de la page de configuration du BIOS (F2).
Menu de configuration du BIOS Type A : F2 > Connection > HTTP(s) Boot > définir sur Off.
Menu de configuration du BIOS Type B : F2 > Settings > SupportAssist System Resolution > BIOSConnect > décocher l’option BIOSConnect.
Option 2 : Les clients peuvent utiliser l’outil de gestion des systèmes distants de Dell Command | Configure (DCC) pour désactiver la prise en charge de la fonctionnalité HTTP Boot.

Revision History

RévisionDateDescription
1.024 juin 2021Version initiale

Acknowledgements

Dell souhaite remercier Mickey Shkatov et Jesse Michael d’Eclypsium pour avoir signalé ce problème.

Related Information

Affected Products

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Products

Product Security Information
Article Properties
Article Number: 000188682
Article Type: Dell Security Advisory
Last Modified: 15 Sept 2021
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.