Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

IDRAC: Вразливості CVE | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Захист віртуальної консолі за допомогою TLS 1.2

Summary: Ця стаття допоможе вам сформулювати план дій для пом'якшення наведених нижче CVE, поки клієнти повідомляють про сповіщення про вразливості на IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Якщо наш клієнт повідомляє про вразливості CVE на IDRAC, а результати сканування вказують на номер CVE, асоційований порт, опис, як показано нижче у звіті про сканування, щоб пом'якшити ці CVE, будь ласка, перегляньте наведені нижче кроки, щоб змінити необхідні налаштування IDRAC і запропонувати клієнту повторно запустити сканування.
 
ЦВЕ Порт Ім'я Опис
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server Обробка URL-адрес Overflow DoS Віддалений веб-сервер може перестати відповідати через занадто довгий запит: ОТРИМАТИ /servlet/AAAA... AAAA:
Відомо, що ця атака впливає на сервери GroupWise.
CVE-2002-0748 5900 Веб-сервер LabVIEW HTTP Отримати Newline DoS Можна було вбити веб-сервер, відправивши запит, який закінчується двома символами НЧ замість звичайної послідовності CR LF CR LF (CR = повернення каретки, LF = подача рядка).
Зловмисник може використати цю вразливість, щоб спричинити збій цього сервера та всіх додатків LabView.
CVE-1999-0517 161 Ім'я спільноти агента SNMP за замовчуванням (загальнодоступне) Можна отримати ім'я спільноти за замовчуванням віддаленого сервера SNMP.
Зловмисник може використовувати цю інформацію для отримання додаткових знань про віддалений хост або для зміни конфігурації віддаленої системи (якщо спільнота за замовчуванням дозволяє такі модифікації).
  5900 Протокол TLS версії 1.1 не підтримується Віддалена служба приймає зашифровані з'єднання за допомогою протоколу TLS 1.1. TLS 1.1 не підтримує поточні та рекомендовані набори шифрів. Шифри, які підтримують шифрування перед обчисленнями MAC, а також автентифіковані режими шифрування, такі як GCM, не можна використовувати з TLS 1.1. З 31 березня 2020 року кінцеві точки, не ввімкнені для TLS 1.2 і новіших версій, більше не працюватимуть належним чином у основних веб-браузерах і основних постачальниках.

Ви можете використовувати SSH на IDRAC IP або використовувати інструменти iDRAC для віддалених команд RACADM, щоб виконати наведені нижче дії.
Обмежте веб-сервер протоколом TLS 1.2.

Перевірте поточні налаштування веб-сервера iDRAC.
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



Щоб встановити параметри веб-сервера iDRAC на TLS 1.2
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
За допомогою команди get підтвердьте налаштування протоколу TLS веб-сервера iDRAC.
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



Через графічний інтерфейс користувача IDRAC - може бути видно скріншот нижче.

Інтерфейс iDRAC показує розділ мережі з підсвічуванням протоколу TLS

Перевірте агента SNMP «Ім'я спільноти SNMP» і змініть ім'я спільноти SNMP за замовчуванням з «Загальнодоступне», щоб вказати інше ім'я, або альтернативно виберіть протокол SNMPv3.
Цей фрагмент нижче взято зі звіту TSR - Обладнання - Атрибути для довідки.
Звіт TSR – Обладнання – Розділ Атрибути

Також може з'явитися розділ IDRAC Графічний інтерфейс користувача - Налаштування iDRAC - Мережа - Служби.
iDRAC UI - Мережа - Розділ Послуги

Команда RACADM CLI для перевірки налаштувань SNMP Agent - SNMP Protocol
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



Тут правові цінності
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Команда для зміни значення об'єкта
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



Команда RACADM для перевірки агента SNMP - Назва спільноти SNMP
 
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



Команда для встановлення імені спільноти SNMP
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



Посібник IDRAC8 RACADM CLI https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
Посібник IDRAC9 RACADM CLI https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.