Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

IDRAC: CVE-haavoittuvuudet | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Virtuaalikonsolin suojaaminen TLS 1.2:lla

Summary: Tämän artikkelin avulla voit laatia toimintasuunnitelman seuraavien CVE:iden lieventämiseksi, kun asiakkaat raportoivat haavoittuvuusilmoituksista IDRACissa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Jos asiakkaamme ilmoittaa CVE-haavoittuvuuksista IDRACissa ja skannaustulokset osoittavat CVE-numeroon, liitettyyn porttiin tai kuvaukseen, kuten alla tarkistusraportissa - voit lieventää näitä CVE:itä noudattamalla alla olevia ohjeita, jotta voit muuttaa IDRAC-asetuksia tarpeen mukaan ja ehdottaa, että asiakas suorittaa tarkistuksen uudelleen.
 
CVE Portti Nimi Kuvaus
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java-palvelimen URL-osoitteiden käsittely Ylivuodon DoS Etäverkkopalvelin voi lakata vastaamasta liian pitkällä pyynnöllä: HANKI /servlet/AAAA... AAAA
Tämän hyökkäyksen tiedetään vaikuttavan GroupWise-palvelimiin.
CVE-2002-0748 5900 LabVIEW Web-palvelin HTTP Hanki Newline DoS Web-palvelin oli mahdollista tappaa lähettämällä pyyntö, joka päättyy kahteen LF-merkkiin normaalin järjestyksen CR LF CR LF sijaan (cr = vaunun palautus, LF = rivinsyöttö).
Hyökkääjä voi hyödyntää tätä haavoittuvuutta saadakseen tämän palvelimen ja kaikki LabView-sovellukset kaatumaan.
CVE-1999-0517 161 SNMP-agentin oletusyhteisönimi (julkinen) SNMP-etäpalvelimen oletusyhteisönimi on mahdollista hankkia.
Hyökkääjä voi käyttää näitä tietoja saadakseen lisätietoja etäisännästä tai muuttaakseen etäjärjestelmän kokoonpanoa (jos oletusyhteisö sallii tällaiset muutokset).
  5900 TLS-version 1.1 protokolla vanhentunut Etäpalvelu hyväksyy salatut yhteydet TLS 1.1:n avulla. TLS 1.1 ei tue nykyisiä ja suositeltuja salausohjelmistoja. TLS 1.1:n kanssa ei voi käyttää salauksia, jotka tukevat salausta ennen MAC-laskentaa, eikä todennettuja salaustiloja, kuten GCM:ää. 31.3.2020 alkaen päätepisteet, joita ei ole otettu käyttöön TLS 1.2:ssa ja sitä uudemmissa versioissa, eivät enää toimi oikein tärkeimpien selainten ja päätoimittajien kanssa.

Voit muodostaa SSH-yhteyden IDRAC-IP-osoitteeseen tai käyttää iDRAC Tools -työkalua RACADM-etäkomentoihin seuraavien ohjeiden mukaisesti.
Rajoita verkkopalvelin TLS 1.2 -protokollaan.

Tarkista iDRAC-verkkopalvelimen nykyiset asetukset. 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



iDRAC-verkkopalvelimen asetusten määrittäminen TLS 1.2 -tasolle 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
Vahvista iDRAC-verkkopalvelimen TLS-protokolla-asetukset get-komennolla. 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



iDRAC:n graafisen käyttöliittymän kautta - saattaa nähdä alla olevan näyttökuvan.

iDRAC-käyttöliittymä, jossa näkyy verkko-osa, jossa näkyy korostettuna TLS-protokolla

Tarkista SNMP-agentin SNMP Community Name ja vaihda oletusarvoinen SNMP-yhteisön nimi julkisesta ja määritä toinen nimi tai vaihtoehtoisesti SNMPv3-protokolla.
Tämä alla oleva katkelma on otettu TSR-raportti - laitteisto - määritteet -osasta.
TSR-raportti – Laitteisto – Määritteet-osio

Saattaa myös näkyä osiossa: IDRAC Graphic User Interface - iDRAC Settings - Network - Services.
iDRAC käyttöliittymä – Verkko – Palvelut-osio

RACADM-komentoriviliittymän komento, jolla tarkistetaan SNMP Agent - SNMP Protocol -asetukset 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



Tässä oikeudelliset arvot
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Objektin arvon muutoskomento 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



RACADM-komento, jolla tarkistetaan SNMP Agent - SNMP Community Name
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



SNMP-yhteisön nimen määrityskomento 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



IDRAC8 RACADM CLI -opas https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI -opas https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.