Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

IDRAC:CVE 漏洞 |CVE-2000-0146、CVE-2002-0748、CVE-1999-0517 |使用 TLS 1.2 保护虚拟控制台

Summary: 本文可帮助您制定行动计划,以便在客户报告 IDRAC 上的漏洞警报时缓解以下 CVE。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

如果我们的客户报告了 IDRAC 上的 CVE 漏洞,并且扫描结果指向扫描报告上的 CVE 编号、关联端口、说明(如下所示),要缓解这些 CVE 的风险,请参阅以下步骤以根据需要更改 IDRAC 设置,并建议客户重新运行扫描。
 
CVE 端口 名称 描述
CVE-2000-0146 5900 Novell GroupWise 增强包 Java Server URL 处理溢出 DoS 远程 Web 服务器可能会因请求过长而变得无响应:GET /servlet/AAAA...AAAA
已知此攻击会影响 GroupWise 服务器。
CVE-2002-0748 5900 LabVIEW Web 服务器 HTTP 获取换行符 DoS 可以通过发送以两个 LF 字符结尾的请求而不是正常序列 CR LF CR LF(CR = 回车,LF = 换行符)来终止 Web 服务器。
攻击者可利用此漏洞使此服务器和所有LabView应用程序崩溃。
CVE-1999-0517 161 SNMP 代理默认社区名称(公共) 可以获取远程 SNMP 服务器的默认社区名称。
攻击者可以使用此信息来获取有关远程主机的更多知识,或更改远程系统的配置(如果默认社区允许此类修改)。
  5900 已弃用 TLS 版本 1.1 协议 远程服务接受使用 TLS 1.1 的加密连接。TLS 1.1 缺乏对当前和建议的加密套件的支持。支持在 MAC 计算之前加密的密码以及经过身份验证的加密模式(如 GCM)不能与 TLS 1.1 一起使用。自 2020 年 3 月 31 日起,未启用 TLS 1.2 及更高版本的端点将无法再与主要 Web 浏览器和主要供应商一起正常运行。

您可以通过 SSH 连接到 IDRAC IP 或使用 iDRAC 工具执行远程 RACADM 命令,以执行以下步骤。
将 Webserver 限制为 TLS 1.2 协议。

检查当前的 iDRAC Webserver 设置。 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



要将 iDRAC Webserver 设置设置为 TLS 1.2,请执行以下操作 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
使用 get 命令确认 iDRAC Webserver TLS 协议设置。 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



通过 IDRAC 图形用户界面 — 可以看到下面的屏幕截图。

突出显示 TLS 协议的网络部分的 iDRAC UI

验证 SNMP 代理程序的“SNMP 团体名称”,并将默认 SNMP 团体名称从“公共”更改为其他名称,或者选择 SNMPv3 协议
以下代码片段摘自 TSR 报告 — 硬件 — 属性部分,以供参考。
TSR 报告 — 硬件 — 属性部分

另请参阅 IDRAC 图形用户界面 - iDRAC 设置 - 网络 - 服务部分。
iDRAC UI - 网络 - 服务部分

RACADM CLI 命令,用于验证 SNMP 代理 — SNMP 协议设置 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



这里的法律价值
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

用于更改对象值的命令 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



用于验证 SNMP 代理程序的 RACADM 命令 — SNMP 团体名称
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



用于设置 SNMP 团体名称的命令 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



IDRAC8 RACADM CLI 指南 https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI 指南 https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.