IDRAC: CVE-sårbarheder | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Sikring af virtuel konsol med TLS 1.2
Summary: Denne artikel hjælper dig med at formulere handlingsplanen til afhjælpning af nedenstående CVE er, mens kunden rapporterer sårbarhedsadvarsler på IDRAC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hvis vores kunde rapporterer CVE-sårbarheder på IDRAC med scanningsresultaterne, der peger mod CVE-nummer, tilknyttet port, beskrivelse som nedenfor i scanningsrapporten, kan du for at afhjælpe disse CVE er se nedenstående trin for at ændre IDRAC-indstillingerne efter behov og foreslå, at kunden kører scanningen igen.
Du kan SSH til IDRAC IP eller bruge iDRAC-værktøjer til eksterne RACADM-kommandoer for at følge nedenstående trin.
Begræns webserveren til TLS 1.2-protokollen.
Kontrollér de aktuelle indstillinger for iDRAC-webserveren.
Sådan indstilles iDRAC-webserverindstillingerne til TLS 1.2
Brug kommandoen get til at bekræfte indstillingerne for iDRAC Webserver TLS Protocol.
Via IDRAC grafisk brugergrænseflade - kan se nedenstående skærmbillede.
Bekræft SNMP-agentens "SNMP-fællesskabsnavn", og skift standardnavnet for SNMP-fællesskabet fra "Offentligt" for at angive et andet navn, eller vælg alternativt SNMPv3-protokol.
Nedenstående uddrag er taget fra TSR-rapporten - Hardware - Attributter sektion til reference.
Kan også se IDRAC grafisk brugergrænseflade - iDRAC-indstillinger - Netværk - Tjenester.
RACADM CLI-kommando til bekræftelse af SNMP-agent – SNMP-protokolindstillinger
Her er de juridiske værdier
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Kommando til ændring af objektværdi
RACADM-kommando til bekræftelse af SNMP-agenten – SNMP-fællesskabsnavn
Kommando til indstilling af SNMP-fællesskabsnavn
IDRAC8 RACADM CLI-vejledning https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI-vejledning https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
| CVE | Port | Navn | Beskrivelse |
| CVE-2000-0146 | 5900 | Novell GroupWise-forbedringspakke til Java Server-URL-håndtering, Overflow DoS | Den eksterne webserver kan holde op med at reagere ved en alt for lang anmodning: GET / servlet / AAAA ... AAAA: Dette angreb er kendt for at påvirke GroupWise-servere. |
| CVE-2002-0748 | 5900 | LabVIEW Web Server HTTP Hent Newline DoS | Det var muligt at dræbe webserveren ved at sende en anmodning, der slutter med to LF-tegn i stedet for den normale sekvens CR LF CR LF (CR = vognretur, LF = linjefødning). En hacker kan udnytte denne sårbarhed til at få denne server og alle LabView-programmer til at gå ned. |
| CVE-1999-0517 | 161 | SNMP-agent Standardfællesskabsnavn (offentligt) | Det er muligt at hente standardfællesskabsnavnet på den eksterne SNMP-server. En hacker kan bruge disse oplysninger til at få mere viden om fjernværten eller til at ændre konfigurationen af fjernsystemet (hvis standardfællesskabet tillader sådanne ændringer). |
| 5900 | TLS version 1.1-protokol udfaset | Fjerntjenesten accepterer krypterede forbindelser ved hjælp af TLS 1.1. TLS 1.1 mangler understøttelse af aktuelle og anbefalede chiffersuiter. Cifre, der understøtter kryptering før MAC-beregning, og godkendte krypteringstilstande som GCM kan ikke bruges sammen med TLS 1.1. Fra og med den 31. marts 2020 vil slutpunkter, der ikke er aktiveret til TLS 1.2 og nyere, ikke længere fungere korrekt med større webbrowsere og større leverandører. |
Du kan SSH til IDRAC IP eller bruge iDRAC-værktøjer til eksterne RACADM-kommandoer for at følge nedenstående trin.
Begræns webserveren til TLS 1.2-protokollen.
Kontrollér de aktuelle indstillinger for iDRAC-webserveren.
racadm get iDRAC.Webserver racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=128-Bit or higher Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.1 and Higher
Sådan indstilles iDRAC-webserverindstillingerne til TLS 1.2
racadm set iDRAC.Webserver.TLSProtocol 2 racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Brug kommandoen get til at bekræfte indstillingerne for iDRAC Webserver TLS Protocol.
racadm get iDRAC.Webserver.TLSProtocol racadm>>racadm get iDRAC.Webserver.TLSProtocol [Key=iDRAC.Embedded.1#WebServer.1] TLSProtocol=TLS 1.2 Only
Via IDRAC grafisk brugergrænseflade - kan se nedenstående skærmbillede.
Bekræft SNMP-agentens "SNMP-fællesskabsnavn", og skift standardnavnet for SNMP-fællesskabet fra "Offentligt" for at angive et andet navn, eller vælg alternativt SNMPv3-protokol.
Nedenstående uddrag er taget fra TSR-rapporten - Hardware - Attributter sektion til reference.
Kan også se IDRAC grafisk brugergrænseflade - iDRAC-indstillinger - Netværk - Tjenester.
RACADM CLI-kommando til bekræftelse af SNMP-agent – SNMP-protokolindstillinger
racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv1
Her er de juridiske værdier
● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3
Kommando til ændring af objektværdi
racadm>>racadm set iDRAC.SNMP.TrapFormat 2 [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully racadm>>racadm get iDRAC.SNMP.TrapFormat [Key=iDRAC.Embedded.1#SNMP.1] TrapFormat=SNMPv3
RACADM-kommando til bekræftelse af SNMP-agenten – SNMP-fællesskabsnavn
racadm get iDRAC.SNMP.AgentCommunity racadm>>racadm get iDRAC.SNMP.AgentCommunity [Key=iDRAC.Embedded.1#SNMP.1] AgentCommunity=public
Kommando til indstilling af SNMP-fællesskabsnavn
racadm set iDRAC.SNMP.AgentCommunity <String Name> racadm>>racadm set iDRAC.SNMP.AgentCommunity secure [Key=iDRAC.Embedded.1#SNMP.1] Object value modified successfully
IDRAC8 RACADM CLI-vejledning https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
IDRAC9 RACADM CLI-vejledning https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true
Affected Products
PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.