Dell EMC iDRAC Meerdere kwetsbaarheden (CVE-2018-15774 en CVE-2018-15776)

• Dell EMC iDRAC7/iDRAC8-versies vóór 2.61.60.60 (CVE-2018-15774 en CVE-2018-15776)
• Dell EMC iDRAC9 versies vóór 3.20.21.20, 3.21.24.22 3.21.26.22 en 3.23.23.23 (CVE-2018-15774)

• Kwetsbaarheden in de escalatie van privileges (CVE-2018-15774)

• Kwetsbaarheden in de onjuiste verwerking van fouten (CVE-2018-15776)

Opmerking: Andere modellen van iDRAC worden niet beïnvloed door de hierboven beschreven beveiligingslekken.

Oplossing:   
De volgende versie van Dell EMC iDRAC-firmware bevat oplossingen voor deze beveiligingslekken:

Opmerking: Beschikbaar vanaf de publicatiedatum.

Dell EMC raadt alle klanten aan om zo snel mogelijk te upgraden. 

Best Practices van Dell EMC met betrekking tot iDRAC:

Naast het up-to-date houden van iDRAC-firmware, adviseert Dell EMC ook het volgende:

• iDRAC's zijn niet ontworpen of bedoeld om op het internet te worden geplaatst of hiermee te worden verbonden. Ze zijn een afzonderlijk beheernetwerk. Door een iDRAC op het internet te plaatsen of hierop aan te sluiten, kan het aangesloten systeem worden blootgesteld aan beveiligings- en andere risico's waar Dell EMC niet verantwoordelijk voor kan worden gehouden.  
• Gebruikers moeten iDRAC's op een afzonderlijk beheer-subnet plaatsen en dit beheer-subnet/vLAN isoleren met technologieën zoals firewalls en toegang tot het subnet/vLAN beperken voor geautoriseerde beheerders.
• Dell EMC adviseert klanten om naar de relevante implementatiefactoren voor hun omgeving te kijken en de algemene risico's in te schatten.

Koppeling naar oplossingen:

Klanten kunnen iDRAC firmware downloaden voor PowerEdge-servers en voor alle andere platforms. Selecteer het platform op de Dell Support website.

Krediet:

CVE-2018-15776: Dell EMC wil graag John Sands en Adam Nielsen bedanken voor het melden van dit probleem.

Dell EMC adviseert alle gebruikers om na te gaan of deze informatie voor hun eigen situatie geldt en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell EMC wijst alle garanties, hetzij uitdrukkelijk of impliciet, af, inclusief de garanties van verhandelbaarheid, geschiktheid voor een bepaald doel, titel en niet-schending. Dell EMC of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell EMC of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.