Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

IDRAC:CVE 漏洞 |CVE-2000-0146、CVE-2002-0748、CVE-1999-0517 |使用 TLS 1.2 保護虛擬主控台

Summary: 本文可協助您制定行動計畫,以在客戶回報 IDRAC 漏洞警示時,緩解下列 CVE。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

如果我們的客戶回報 IDRAC 上的 CVE 漏洞,且掃描結果指向掃描報告中的 CVE 編號、關聯連接埠、說明,如下所述,若要緩解這些 CVE,請參閱以下步驟,視需要變更 IDRAC 設定,並建議客戶重新執行掃描。
 
CVE 連接埠 名稱 說明
CVE-2000-0146 5900 Novell GroupWise 強化套件 JAVA 伺服器 URL 處理溢位 DoS 遠端 Web 伺服器可能會因過長的請求而變得無回應:取得 /servlet/AAAA...AAAA
已知此攻擊會影響 GroupWise 伺服器。
CVE-2002-0748 5900 LabVIEW Web 伺服器 HTTP 取得換行 DoS 可以通過發送以兩個 LF 字元結尾的請求而不是正常序列 CR LF CR LF(CR = 回車符,LF = 換行符)來終止 Web 伺服器。
攻擊者可利用此漏洞導致該伺服器和所有LabView應用崩潰。
CVE-1999-0517 161 SNMP 代理程式預設社群名稱 (公開) 可以獲取遠端 SNMP 伺服器的預設社區名稱。
攻擊者可使用此資訊進一步瞭解遠端主機,或更改遠端系統的配置(如果預設社區允許此類修改)。
  5900 已棄用 TLS 版本 1.1 通訊協定 遠端服務接受使用 TLS 1.1 的加密連接。TLS 1.1 缺少對當前和推薦密碼套件的支援。在 MAC 計算之前支援加密的密碼和經過身份驗證的加密模式(如 GCM)不能與 TLS 1.1 一起使用。自 2020 年 3 月 31 日起,未啟用 TLS 1.2 及更高版本的端點將無法再與主要 Web 瀏覽器和主要廠商一起正常運作。

您可以透過 SSH 至 iDRAC IP 或使用遠端 RACADM 命令的 iDRAC 工具,以依照下列步驟操作。
將 Web 伺服器限制為 TLS 1.2 協定。

檢查目前的 iDRAC Web 伺服器設定。 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



iDRAC Web 伺服器設定設為 TLS 1.2 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
使用 get 命令確認 iDRAC Web 伺服器 TLS 通訊協定設定。 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



透過 IDRAC 圖形使用者介面 - 可能會看到以下螢幕擷取畫面。

iDRAC UI 會顯示網路區段,並反白顯示 TLS 通訊協定

確認 SNMP 代理程式「SNMP 社群名稱」,並將預設的 SNMP 社群名稱從「公用」變更為指定不同的名稱或選取 SNMPv3 通訊協定
以下代碼片段摘自 TSR 報告 - 硬體 - 屬性部分以供參考。
TSR 報告 – 硬體 – 屬性區段

此外,也可能會看到 IDRAC 圖形使用者介面 - iDRAC 設定 - 網路 - 服務一節。
iDRAC UI - 網路 - 服務區段

用於驗證 SNMP 代理程式 - SNMP 通訊協定設定的 RACADM CLI 命令 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



這裡是法律價值
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

變更物件值的命令 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



用於驗證 SNMP 代理程式 - SNMP 社群名稱的 RACADM 命令
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



設定 SNMP 社群名稱的命令 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



IDRAC8 RACADM CLI 指南 https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
iDRAC9 RACADM CLI 指南 https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.