iDRAC: CVEの脆弱性 |CVE-2000-0146、CVE-2002-0748、CVE-1999-0517 |TLS 1.2を使用した仮想コンソールの保護
Summary: この記事は、お客様がiDRACで脆弱性アラートを報告している間に、以下のCVEを軽減するためのアクション プランを策定するのに役立ちます。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
お客様からiDRACのCVE脆弱性が報告され、スキャン レポートの以下のように、スキャン結果がCVE番号、関連ポート、説明を指している場合、これらのCVEを軽減するには、次の手順を参照して、必要に応じてiDRAC設定を変更し、スキャンを再実行するようお客様に提案してください。
iDRAC IPにSSHで接続するか、リモートRACADMコマンドにiDRACツールを使用して、次の手順を実行します
WebサーバーをTLS 1.2プロトコルに制限します。
現在のiDRAC Webサーバー設定を確認します。
iDRAC Webサーバー設定をTLS 1.2に設定するには、次の手順を実行します。
getコマンドを使用して、iDRAC WebサーバーのTLSプロトコル設定を確認します。
iDRACグラフィカル ユーザー インターフェイスを使用すると、次のスクリーンショットが表示される場合があります
SNMPエージェントの「SNMPコミュニティ名」を確認し、デフォルトのSNMPコミュニティ名を「パブリック」から変更して別の名前を指定するか、またはSNMPv3プロトコルを選択します
次のスニペットは、TSRレポートの「ハードウェア - 属性」セクションからの抜粋です
また、iDRACグラフィカル ユーザー インターフェイスの[iDRAC設定]>[ネットワーク]>[サービス]セクションに表示される場合もあります
SNMPエージェントを確認するためのRACADM CLIコマンド - SNMPプロトコル設定
ここで有効な値
・ 0:SNMPv1
・ 1:SNMPv2
・ 2:SNMPv3
オブジェクト値を変更するコマンド
SNMPエージェントを確認するRACADMコマンド - SNMPコミュニティー名
SNMPコミュニティ名を設定するコマンド
iDRAC8 RACADM CLIガイド https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
iDRAC9 RACADM CLIガイド https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
| CVE | ポート | 名前 | 説明 |
| CVE-2000-0146 | 5900 | Novell GroupWise Enhancement Pack Java Server URLのオーバーフローDoS処理 | リモートWebサーバーは、過度に長いリクエストによって応答しなくなる可能性があります。GET /servlet/AAAA...AAAA この攻撃はGroupWiseサーバに影響を与えることが知られています。 |
| CVE-2002-0748 | 5900 | LabVIEW WebサーバHTTP改行DoSを取得 | 通常のシーケンスCR LF CR LF(CR = キャリッジリターン、LF = ラインフィード)ではなく、2つのLF文字で終わるリクエストを送信することで、Webサーバーを強制終了することができました。 攻撃者はこの脆弱性を悪用して、このサーバとすべてのLabViewアプリケーションをクラッシュさせる可能性があります。 |
| CVE-1999-0517 | 161 | SNMP エージェントのデフォルト コミュニティ名(パブリック) | リモートSNMPサーバーのデフォルトのコミュニティー名を取得することができます。 攻撃者はこの情報を使用して、リモートホストに関するより多くの知識を取得したり、リモートシステムの設定を変更したりする可能性があります(デフォルトのコミュニティでそのような変更が許可されている場合)。 |
| 5900 | TLSバージョン1.1プロトコルの廃止 | リモート サービスは、TLS 1.1を使用して暗号化された接続を受け入れます。TLS 1.1は、現在および推奨される暗号スイートをサポートしていません。MAC 計算前の暗号化をサポートする暗号、および GCM などの認証された暗号化モードは、TLS 1.1 では使用できません。2020 年 3 月 31 日以降、TLS 1.2 以降が有効になっていないエンドポイントは、主要な Web ブラウザーおよび主要なベンダーで正しく機能しなくなります。 |
iDRAC IPにSSHで接続するか、リモートRACADMコマンドにiDRACツールを使用して、次の手順を実行します
WebサーバーをTLS 1.2プロトコルに制限します。
現在のiDRAC Webサーバー設定を確認します。
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
iDRAC Webサーバー設定をTLS 1.2に設定するには、次の手順を実行します。
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
getコマンドを使用して、iDRAC WebサーバーのTLSプロトコル設定を確認します。
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
iDRACグラフィカル ユーザー インターフェイスを使用すると、次のスクリーンショットが表示される場合があります
SNMPエージェントの「SNMPコミュニティ名」を確認し、デフォルトのSNMPコミュニティ名を「パブリック」から変更して別の名前を指定するか、またはSNMPv3プロトコルを選択します
次のスニペットは、TSRレポートの「ハードウェア - 属性」セクションからの抜粋です
また、iDRACグラフィカル ユーザー インターフェイスの[iDRAC設定]>[ネットワーク]>[サービス]セクションに表示される場合もあります
SNMPエージェントを確認するためのRACADM CLIコマンド - SNMPプロトコル設定
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
ここで有効な値
・ 0:SNMPv1
・ 1:SNMPv2
・ 2:SNMPv3
オブジェクト値を変更するコマンド
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
SNMPエージェントを確認するRACADMコマンド - SNMPコミュニティー名
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
SNMPコミュニティ名を設定するコマンド
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
iDRAC8 RACADM CLIガイド https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
iDRAC9 RACADM CLIガイド https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
Affected Products
PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.