Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000177031

Varias vulnerabilidades de iDRAC de Dell EMC (CVE-2018-15774 y CVE-2018-15776)

Summary: Guía de Dell EMC para mitigar el riesgo y brindar la solución de múltiples vulnerabilidades de iDRAC. Para obtener información específica sobre las versiones de iDRAC afectadas y los próximos pasos para aplicar las actualizaciones, consulte esta guía. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Identificador CVE: Gravedad CVE-2018-15774, CVE-2018-15776:

Productos

medianos afectados:
  • Versiones de iDRAC7/iDRAC8 de Dell EMC anteriores a 2.61.60.60 (CVE-2018-15774 y CVE-2018-15776)
  • Versiones de iDRAC9 de Dell EMC anteriores a 3.20.21.20, 3.21.24.22, 3.21.26.22 y 3.23.23.23 (CVE-2018-15774)
Resumen
iDRAC de Dell EMC se ha actualizado para abordar múltiples vulnerabilidades que podrían aparecer y comprometer a los sistemas afectados.
 
Detalles
  • Vulnerabilidad de escalación de privilegios (CVE-2018-15774)
Las versiones de iDRAC7/iDRAC8 de Dell EMC anteriores a 2.61.60.60 y iDRAC9 anteriores a 3.20.21.20, 3.21.24.22, 3.21.26.22 y 3.23.23.23 contienen una vulnerabilidad de escalación de privilegios. Un usuario autenticado malicioso de iDRAC con privilegios de operador podría aprovechar una falla de verificación de permisos en la interfaz de Redfish para obtener acceso de administrador.
 
 
  • Vulnerabilidad en el manejo incorrecto de errores (CVE-2018-15776)
Las versiones de iDRAC7/iDRAC8 de Dell EMC anteriores a 2.61.60.60 contienen una vulnerabilidad de manejo incorrecto de errores. Un atacante no autenticado con acceso físico al sistema podría potencialmente aprovechar esta vulnerabilidad para obtener acceso al shell u-boot.
 
SLN315190_en_US__1icon Nota: Otros modelos de iDRAC no se ven afectados por las vulnerabilidades detalladas anteriormente.

Solución:   
Las siguientes versiones de firmware de iDRAC de Dell EMC contienen soluciones para estas vulnerabilidades:

 
iDRAC Versión de firmware de iDRAC

iDRAC9
3.20.21.20
3.21.24.22
3.21.26.22
3.23.23.23
iDRAC8 2.61.60.60
iDRAC7 2.61.60.60

 

SLN315190_en_US__1icon Nota: Disponible a partir de la fecha de publicación.

Dell EMC recomienda que todos los clientes actualicen sus equipos lo antes posible. 

Prácticas recomendadas de Dell EMC con respecto a iDRAC:

Además de mantener el firmware actualizado de iDRAC, Dell EMC también aconseja considerar lo siguiente:

  • Los iDRAC no están diseñados para ser instalados o conectados a Internet, están destinados a permanecer en una red de administración separada. La instalación o conexión de iDRAC directamente a Internet podría exponer al sistema conectado a riesgos de seguridad y de otro tipo de los que Dell EMC no es responsable.  
  • Junto con la ubicación de los iDRAC en una subred de administración separada, los usuarios deben aislar la subred de administración/vLAN con tecnologías como firewalls y limitar el acceso a la subred/vLAN a los administradores de servidores autorizados.
  • Dell EMC recomienda a los clientes tomar en cuenta cualquiera de los factores de implementación que pudieran ser de relevancia para su entorno a fin de evaluar sus riesgos a nivel global.

Enlace a las soluciones:

Los clientes pueden descargar el firmware de iDRAC para los servidores PowerEdge y para todas las demás plataformas, seleccione la plataforma en el sitio de soporte de Dell.


Crédito:

CVE-2018-15776: Dell EMC desea agradecer a Jon Sands y Adam Channel por informarnos este problema.

Dell EMC recomienda a todos los usuarios determinar la utilidad de esta información conforme a cada situación particular para tomar las medidas apropiadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell EMC renuncia a todas las garantías, expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un propósito en particular, título e incumplimiento. En ningún caso Dell EMC ni sus proveedores serán responsables de daños, incluidos daños directos, indirectos, casuales y consecuentes, ni pérdida de ganancias comerciales o daños especiales, incluso si a Dell EMC o sus proveedores se les haya advertido la posibilidad de sufrir tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.

Cause

 

Resolution


Article Properties

Affected Product

Hyper-converged Systems, Datacenter Scalable Solutions, PowerEdge, iDRAC7/8 with Lifecycle Controller Version 2.61.60.60, Precision 7920 Rack, Precision Rack 7910

Last Published Date

17 Dec 2021

Version

5

Article Type

Solution

Back to Top