IDRAC: CVE-sårbarheter | CVE-2000-0146, CVE-2002-0748 och CVE-1999-0517 | Skydda den virtuella konsolen med TLS 1.2
Summary: Den här artikeln hjälper dig att formulera åtgärdsplanen för att minimera nedanstående CVE:er medan kunden rapporterar sårbarhetsaviseringar på IDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Om vår kund rapporterar CVE-sårbarheter på IDRAC med genomsökningsresultaten som pekar mot CVE-nummer, associerad port, beskrivning enligt nedan i genomsökningsrapporten kan du vidta åtgärder för att åtgärda dessa CVE:er genom att följa stegen nedan för att ändra IDRAC-inställningarna efter behov och föreslå att kunden kör genomsökningen igen.
Du kan SSH-ansluta till IDRAC IP eller använda iDRAC-verktyg för RACADM-fjärrkommandon för att följa stegen nedan.
Begränsa webbservern till TLS 1.2-protokollet.
Kontrollera de aktuella inställningarna för iDRAC-webbserver.
Så här ställer du in inställningarna för iDRAC-webbservern på TLS 1.2
Använd kommandot get för att bekräfta inställningarna för TLS-protokollet för iDRAC-webbservern.
Via IDRAC:s grafiska användargränssnitt – kan se skärmbilden nedan.
Kontrollera SNMP-agentens SNMP Community Name och ändra SNMP Community-namnet till "Public" för att ange ett annat namn eller välj SNMPv3 Protocol.
Kodfragmentet nedan är hämtat från TSR-rapporten – Maskinvara – Attributavsnittet som referens.
Du kan även se IDRAC:s grafiska användargränssnitt – iDRAC-inställningar – Nätverk – Tjänster.
RACADM CLI-kommando för att verifiera SNMP-agenten – SNMP-protokollinställningar
Här är de rättsliga värdena
● 0 – SNMPv1
● 1 – SNMPv2
● 2 – SNMPv3
Kommando för att ändra objektvärde
RACADM-kommando för att verifiera SNMP-agenten – SNMP-gruppnamn
Kommando för att ställa in SNMP-gruppnamn
IDRAC8 RACADM CLI-guide https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI-guide https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
| CVE | Port | Namn | Beskrivning |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack Java-server URL-hantering Overflow DoS | Fjärrwebbservern kan sluta svara på grund av en alltför lång begäran: FÅ /servlet/AAAA... AAAA Den här attacken är känd för att påverka GroupWise-servrar. |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Get Newline DoS | Det var möjligt att avsluta webbservern genom att skicka en begäran som slutar med två LF-tecken istället för den normala sekvensen CR LF CR LF (CR = vagnretur, LF = radmatning). En angripare kan utnyttja denna sårbarhet för att få den här servern och alla LabView-applikationer att krascha. |
| CVE-1999-0517 | 161 | Standardnamn för SNMP-agentgrupp (offentligt) | Det går att hämta standardnamnet för SNMP-fjärrservern. En angripare kan använda den här informationen för att få mer kunskap om fjärrvärden eller för att ändra konfigurationen av fjärrsystemet (om standardgemenskapen tillåter sådana ändringar). |
| 5900 | TLS version 1.1-protokollet är inaktuellt | Fjärrtjänsten accepterar krypterade anslutningar med TLS 1.1. TLS 1.1 saknar stöd för aktuella och rekommenderade chiffersviter. Chiffer som stöder kryptering före MAC-beräkning och autentiserade krypteringslägen som GCM kan inte användas med TLS 1.1. Från och med den 31 mars 2020 kommer slutpunkter som inte är aktiverade för TLS 1.2 och senare inte längre att fungera korrekt med större webbläsare och större leverantörer. |
Du kan SSH-ansluta till IDRAC IP eller använda iDRAC-verktyg för RACADM-fjärrkommandon för att följa stegen nedan.
Begränsa webbservern till TLS 1.2-protokollet.
Kontrollera de aktuella inställningarna för iDRAC-webbserver.
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Så här ställer du in inställningarna för iDRAC-webbservern på TLS 1.2
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Använd kommandot get för att bekräfta inställningarna för TLS-protokollet för iDRAC-webbservern.
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Via IDRAC:s grafiska användargränssnitt – kan se skärmbilden nedan.
Kontrollera SNMP-agentens SNMP Community Name och ändra SNMP Community-namnet till "Public" för att ange ett annat namn eller välj SNMPv3 Protocol.
Kodfragmentet nedan är hämtat från TSR-rapporten – Maskinvara – Attributavsnittet som referens.
Du kan även se IDRAC:s grafiska användargränssnitt – iDRAC-inställningar – Nätverk – Tjänster.
RACADM CLI-kommando för att verifiera SNMP-agenten – SNMP-protokollinställningar
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Här är de rättsliga värdena
● 0 – SNMPv1
● 1 – SNMPv2
● 2 – SNMPv3
Kommando för att ändra objektvärde
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
RACADM-kommando för att verifiera SNMP-agenten – SNMP-gruppnamn
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Kommando för att ställa in SNMP-gruppnamn
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
IDRAC8 RACADM CLI-guide https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI-guide https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
Affected Products
PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.