Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

IDRAC: Vulnerabilità CVE | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Protezione della console virtuale con TLS 1.2

Summary: Questo articolo aiuta a formulare il piano d'azione per mitigare i CVE riportati di seguito mentre il cliente segnala avvisi di vulnerabilità su IDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Se il nostro cliente segnala vulnerabilità CVE su IDRAC con i risultati della scansione indicati come numero CVE, porta associata e descrizione come indicato di seguito nel report di scansione, per mitigare queste CVE, consultare i passaggi riportati di seguito per modificare le impostazioni IDRAC come richiesto e suggerire al cliente di eseguire nuovamente la scansione.
 
CVE Porta Name Descrizione
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Gestione dell'overflow dell'URL del server Java DoS Il server web remoto può smettere di rispondere a seguito di una richiesta troppo lunga: GET /servlet/AAAA... AAAA
È noto che questo attacco colpisce i server GroupWise.
CVE-2002-0748 5900 LabVIEW Web Server HTTP Get Newline DoS Era possibile terminare il server Web inviando una richiesta che termina con due caratteri LF invece della normale sequenza CR LF CR LF (CR = ritorno a capo, LF = avanzamento riga).
Un utente malintenzionato può sfruttare questa vulnerabilità per causare l'arresto anomalo del server e di tutte le applicazioni LabView.
CVE-1999-0517 161 Nome della community predefinita dell'agent SNMP (pubblico) È possibile ottenere il nome della community predefinita del server SNMP remoto.
Un utente malintenzionato può utilizzare queste informazioni per ottenere maggiori informazioni sull'host remoto o per modificare la configurazione del sistema remoto (se la community predefinita consente tali modifiche).
  5900 Protocollo TLS versione 1.1 obsoleto Il servizio remoto accetta connessioni crittografate tramite TLS 1.1. TLS 1.1 non supporta i pacchetti di crittografia correnti e consigliati. Le crittografie che supportano la crittografia prima del calcolo MAC e le modalità di crittografia autenticata come GCM non possono essere utilizzate con TLS 1.1. A partire dal 31 marzo 2020, gli endpoint non abilitati per TLS 1.2 e versioni successive non funzioneranno più correttamente con i principali web browser e fornitori.

È possibile accedere tramite SSH all'IP iDRAC o utilizzare iDRAC Tools per i comandi RACADM remoti per seguire la procedura riportata di seguito.
Limita il server web al protocollo TLS 1.2.

Controllare le impostazioni correnti del server web iDRAC. 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



Per configurare le impostazioni del server web iDRAC su TLS 1.2 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
Utilizzare il comando get per confermare le impostazioni del protocollo TLS del server web iDRAC. 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



Tramite l'interfaccia utente grafica di IDRAC, è possibile visualizzare la schermata seguente.

UI di iDRAC che mostra la sezione di rete che evidenzia il protocollo TLS

Verificare SNMP Agent "SNMP Community Name" e modificare il nome predefinito SNMP Community name da "Public" per specificare un nome diverso o, in alternativa, selezionare SNMPv3 Protocol.
Questo frammento di codice riportato di seguito è tratto dal report TSR - Hardware - Sezione Attributi per riferimento.
Report TSR – Hardware – Sezione Attributi

È inoltre possibile consultare la sezione Interfaccia grafica utente iDRAC - Impostazioni iDRAC - Rete - Servizi.
Interfaccia utente di iDRAC - Rete - Sezione Servizi

Comando CLI RACADM per verificare le impostazioni SNMP Agent - SNMP Protocol 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



Qui i Valori Legali
● 0: SNMPv1
● 1 - SNMPv2
● 2 - SNMPv3

Comando per modificare il valore dell'oggetto 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



Comando RACADM per verificare l'agent SNMP - Nome community SNMP
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



Comando per impostare il nome della community SNMP 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



Guida CLI RACADM IDRAC8 https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
Guida CLI RACADM IDRAC9 https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.