Identifikátor CVE: CVE-2018-15774, CVE-2018-15776
Závažnost: Středně
dotčené produkty:
- Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 (CVE-2018-15774 a CVE-2018-15776)
- Řadič Dell EMC iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 (CVE-2018-15774)
Shrnutí:
Řadič Dell EMC iDRAC byl aktualizován za účelem odstranění vícenásobných chyb zabezpečení, které mohou být potenciálně zneužity k ohrožení dotčených systémů.
Podrobnosti:
- Zranitelnost elevace oprávnění (CVE-2018-15774)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 a řadič iDRAC9 před verzí 3.20.21.20, 3.21.24.22, 3.21.26.22 a 3.23.23.23 obsahuje zranitelnost elevace oprávnění. Ověřený uživatel řadiče iDRAC se zlými úmysly a oprávněními operátora by mohl potenciálně zneužít chyby při kontrole oprávnění v rozhraní Redfish k získání administrátorského přístupu.
- Zranitelnost nesprávného zacházení s chybami (CVE-2018-15776)
Řadič Dell EMC iDRAC7/iDRAC8 před verzí 2.61.60.60 obsahuje zranitelnost nesprávného zacházení s chybami. Neověřený útočník s fyzickým přístupem k systému může potenciálně zneužít této zranitelnosti pro přístup k příkazovému řádku u-boot shell.
![SLN315190_en_US__1icon](https://supportkb.dell.com/img/ka06P000000g3O5QAI/ka06P000000g3O5QAI_cs_1.jpeg)
Poznámka: Ostatní modely řadiče iDRAC nejsou dotčeny výše uvedenými chybami zabezpečení.
Řešení:
Následující verze firmwaru řadiče Dell EMC iDRAC obsahují řešení těchto zranitelností:
iDRAC |
Verze firmwaru řadiče iDRAC |
iDRAC9
|
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
![SLN315190_en_US__1icon](https://supportkb.dell.com/img/ka06P000000g3O5QAI/ka06P000000g3O5QAI_cs_2.jpeg)
Poznámka: K datu publikace je k dispozici.
Společnost Dell EMC doporučuje všem uživatelům provést upgrade co nejdříve.
Osvědčené postupy společnosti Dell EMC týkající se řadiče iDRAC:
Společnost Dell EMC kromě udržování aktuálního firmwaru řadiče iDRAC doporučuje následující opatření:
- Řadiče iDRAC nejsou určeny k umisťování nebo připojování k internetu, jsou určeny k používání v oddělené síti pro správu. V důsledku přímého umístění nebo připojení řadiče iDRAC k internetu může dojít k vystavení připojeného systému bezpečnostním nebo jiným rizikům, za které společnost Dell EMC neodpovídá.
- Kromě umístění řadičů iDRAC do samostatné sítě pro správu by uživatelé měli také izolovat podsíť pro správu / síť vLAN pomocí technologií jako jsou brány firewally a omezit přístup k podsíti / síti vLAN pouze pro oprávněné správce serveru.
- Společnost Dell EMC doporučuje zákazníkům vzít při vyhodnocování celkového rizika v úvahu veškeré faktory nasazení, které mohou být v jejich prostředí relevantní.
Odkaz na opravné prostředky:
Zákazníci si mohou stáhnout firmware řadiče iDRAC pro servery PowerEdge a pro všechny ostatní platformy – na stránce podpory společnosti Dell si vyberte platformu.
Poděkování:
CVE-2018-15776: Společnost Dell EMC by ráda poděkovala Eriku Jonesovi a Adamu Nielsenovi za to, že nám tento problém nahlásili.
Společnost Dell EMC doporučuje všem uživatelům rozhodnout o využití těchto informací v konkrétní situaci a podniknout odpovídající akci. Informace uvedené zde jsou poskytovány „tak, jak jsou“, bez záruky jakéhokoli druhu. Společnost Dell EMC se zříká veškerých záruk, ať výslovných nebo předpokládaných, včetně záruk prodejnosti, vhodnosti pro určitý účel, vlastnického nároku a neporušení práv. Společnost Dell EMC ani její dodavatelé neponesou v žádném případě odpovědnost za jakékoli škody včetně přímých, nepřímých, neúmyslných či následných škod, ztráty podnikových zisků nebo zvláštních škod, i pokud byli společnost Dell EMC nebo její dodavatelé na možnost vzniku takových škod upozorněni. Některé státy nepovolují vyloučení či omezení odpovědnosti u následných nebo neúmyslných škod, výše uvedená omezení tedy nemusí být vždy platná.