Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

IDRAC: CVE-Sicherheitslücken | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Sichern der virtuellen Konsole mit TLS 1.2

Summary: Dieser Artikel hilft Ihnen bei der Formulierung des Aktionsplans zur Minderung der unten aufgeführten CVEs, während der Kunde Warnmeldungen zu Sicherheitslücken auf iDRAC meldet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Wenn ein Kunde CVE-Sicherheitslücken auf dem iDRAC meldet und die Scanergebnisse auf die CVE-Nummer, den zugehörigen Port und die Beschreibung wie unten im Scanbericht verweisen, führen Sie zur Minderung dieser CVEs die folgenden Schritte aus, um die IDRAC-Einstellungen nach Bedarf zu ändern, und schlagen Sie dem Kunden vor, den Scan erneut auszuführen.
 
CVE Schnittstelle Name Beschreibung
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server URL-Umgang mit Überlauf DoS Der Remote-Webserver kann durch eine übermäßig lange Anforderung nicht mehr reagieren: GET /servlet/AAAA... AAAA
Es ist bekannt, dass dieser Angriff GroupWise-Server betrifft.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS Es war möglich, den Webserver zu beenden, indem ein Request gesendet wurde, der mit zwei LF-Zeichen anstelle der normalen Sequenz CR LF CR CR LF (CR = Wagenrücklauf, LF = Zeilenvorschub) endete.
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, um diesen Server und alle LabView-Anwendungen zum Absturz zu bringen.
CVE-1999-0517 161 SNMP-Agent – standardmäßiger Community-Name (öffentlich) Es ist möglich, den standardmäßigen Community-Namen des Remote-SNMP-Servers abzurufen.
Ein Angreifer kann diese Informationen verwenden, um mehr Informationen über den Remotehost zu erhalten oder die Konfiguration des Remotesystems zu ändern (wenn die Standardcommunity solche Änderungen zulässt).
  5900 TLS-Protokollversion 1.1 veraltet Der Remotedienst akzeptiert verschlüsselte Verbindungen mit TLS 1.1. TLS 1.1 bietet keine Unterstützung für aktuelle und empfohlene Cipher Suites. Verschlüsselungen, die Verschlüsselung vor MAC-Berechnung unterstützen, und authentifizierte Verschlüsselungsmodi wie GCM können nicht mit TLS 1.1 verwendet werden. Ab dem 31. März 2020 funktionieren Endpunkte, die nicht für TLS 1.2 und höher aktiviert sind, nicht mehr ordnungsgemäß mit gängigen Webbrowsern und Anbietern.

Sie können eine SSH-Verbindung zur iDRAC-IP herstellen oder iDRAC-Tools für Remote-RACADM-Befehle verwenden, um die folgenden Schritte auszuführen.
Beschränken Sie den Webserver auf das TLS 1.2-Protokoll.

Überprüfen Sie die aktuellen iDRAC-Webservereinstellungen. 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



So legen Sie die iDRAC-Webservereinstellungen auf TLS 1.2 fest 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
Verwenden Sie den Befehl "get", um die TLS-Protokolleinstellungen des iDRAC-Webservers zu bestätigen. 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



Über die grafische Benutzeroberfläche von IDRAC wird der folgende Screenshot angezeigt.

iDRAC-Benutzeroberfläche mit Netzwerkabschnitt mit Hervorhebung des TLS-Protokolls

Überprüfen Sie den SNMP-Agent unter "SNMP Community Name" und ändern Sie den standardmäßigen SNMP Community-Namen von "Public", um einen anderen Namen anzugeben, oder wählen Sie alternativ SNMPv3 Protocol aus.
Das folgende Snippet stammt aus dem TSR-Bericht – Abschnitt Hardware – Attribute als Referenz.
TSR-Bericht – Hardware – Abschnitt

Siehe möglicherweise auch den Abschnitt Grafische Benutzeroberfläche von iDRAC – iDRAC-Einstellungen – Netzwerk – Services.
iDRAC-UI – Abschnitt

RACADM-CLI-Befehl zur Überprüfung des SNMP-Agenten – SNMP-Protokolleinstellungen 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



Hier die rechtlichen Werte
● 0 – SNMPv1
● 1 – SNMPv2
● 2 – SNMPv3

Befehl zum Ändern des Objektwerts 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



RACADM-Befehl zur Verifizierung des SNMP-Agenten – SNMP-Community-Name
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



Befehl zum Festlegen des SNMP-Community-Namens 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



IDRAC8 RACADM CLI – Handbuch https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI – Handbuch https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.