Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Kontroler iDRAC: Luki w zabezpieczeniach CVE | CVE-2000-0146, CVE-2002-0748, CVE-1999-0517 | Zabezpieczanie konsoli wirtualnej za pomocą protokołu TLS 1.2

Summary: Ten artykuł pomaga sformułować plan działania w celu złagodzenia poniższych CVE, gdy klient zgłasza alerty dotyczące luk w zabezpieczeniach kontrolera iDRAC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Jeśli nasz klient zgłasza luki CVE w kontrolerze iDRAC, a wyniki skanowania wskazują na numer CVE, powiązany port i opis, jak poniżej w raporcie ze skanowania, w celu złagodzenia tych luk w zabezpieczeniach należy zapoznać się z poniższymi krokami, aby zmienić ustawienia kontrolera iDRAC zgodnie z wymaganiami i zasugerować klientowi ponowne uruchomienie skanowania.
 
CVE Port Nazwa Opis
CVE-2000-0146 5900 Novell GroupWise Enhancement Pack Java Server URL Handling Overflow DoS Zdalny serwer WWW może przestać odpowiadać z powodu zbyt długiego żądania: GET /servlet/AAAA... AAAA
Wiadomo, że ten atak dotyczy serwerów GroupWise.
CVE-2002-0748 5900 Serwer WWW LabVIEW HTTP Pobierz Newline DoS Możliwe było zabicie serwera WWW poprzez wysłanie żądania, które kończy się dwoma znakami LF zamiast normalnej sekwencji CR LF CR LF (CR = powrót karetki, LF = wysuw wiersza).
Osoba atakująca może wykorzystać tę lukę, aby spowodować awarię tego serwera i wszystkich aplikacji LabView.
CVE-1999-0517 161 Domyślna nazwa społeczności agenta SNMP (publiczna) Istnieje możliwość uzyskania domyślnej nazwy wspólnoty zdalnego serwera SNMP.
Osoba atakująca może wykorzystać te informacje, aby uzyskać więcej wiedzy o zdalnym hoście lub zmienić konfigurację zdalnego systemu (jeśli domyślna społeczność zezwala na takie modyfikacje).
  5900 Protokół TLS w wersji 1.1 jest przestarzały Usługa zdalna akceptuje połączenia szyfrowane przy użyciu protokołu TLS 1.1. Protokół TLS 1.1 nie obsługuje bieżących i zalecanych zestawów szyfrowania. Szyfry, które obsługują szyfrowanie przed obliczeniem adresu MAC i uwierzytelnione tryby szyfrowania, takie jak GCM, nie mogą być używane z protokołem TLS 1.1. Od 31 marca 2020 r. punkty końcowe, które nie obsługują protokołu TLS 1.2 i nowszych, nie będą już działać poprawnie z głównymi przeglądarkami internetowymi i głównymi dostawcami.

Aby wykonać poniższe czynności, możesz połączyć się z adresem IP kontrolera iDRAC przez SSH lub użyć narzędzi iDRAC Tools dla zdalnych poleceń RACADM.
Ogranicz serwer WWW do protokołu TLS 1.2.

Sprawdź bieżące ustawienia serwera WWW kontrolera iDRAC. 
racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=128-Bit or higher
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.1 and Higher

 



Aby skonfigurować ustawienia serwera WWW kontrolera iDRAC na TLS 1.2 
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 


 
Użyj polecenia get, aby potwierdzić ustawienia protokołu TLS serwera WWW kontrolera iDRAC. 
racadm get iDRAC.Webserver.TLSProtocol 
racadm>>racadm get iDRAC.Webserver.TLSProtocol
[Key=iDRAC.Embedded.1#WebServer.1]
TLSProtocol=TLS 1.2 Only

 



Za pośrednictwem graficznego interfejsu użytkownika kontrolera iDRAC — można zobaczyć poniższy zrzut ekranu.

Interfejs użytkownika kontrolera iDRAC przedstawiający sekcję sieci z wyróżnieniem protokołu TLS

Sprawdź "Nazwa społeczności SNMP" agenta SNMP i zmień domyślną nazwę społeczności SNMP z "Public", aby określić inną nazwę, lub alternatywnie wybierz protokół SNMPv3.
Poniższy fragment kodu pochodzi z raportu TSR — Sprzęt — sekcja atrybutów w celach informacyjnych.
Raport TSR — Sprzęt — Sekcja atrybutów

Może również zostać wyświetlona sekcja Graficzny interfejs użytkownika kontrolera iDRAC — Ustawienia kontrolera iDRAC — Sieć — Usługi.
Interfejs użytkownika kontrolera iDRAC — Sieć — sekcja Usługi

Polecenie interfejsu wiersza polecenia RACADM do weryfikacji ustawień agenta SNMP — protokołu SNMP 
racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv1



Tutaj wartości
prawne● 0 — SNMPv1
● 1 — SNMPv2
● 2 — SNMPv3

Polecenie zmiany wartości obiektu 
racadm>>racadm set iDRAC.SNMP.TrapFormat 2
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully

racadm>>racadm get iDRAC.SNMP.TrapFormat
[Key=iDRAC.Embedded.1#SNMP.1]
TrapFormat=SNMPv3



Polecenie RACADM do weryfikacji agenta SNMP — nazwa społeczności SNMP
  
racadm get iDRAC.SNMP.AgentCommunity
racadm>>racadm get iDRAC.SNMP.AgentCommunity
[Key=iDRAC.Embedded.1#SNMP.1]
AgentCommunity=public



Polecenie ustawiania nazwy społeczności SNMP 
racadm set iDRAC.SNMP.AgentCommunity <String Name>
racadm>>racadm set iDRAC.SNMP.AgentCommunity secure
[Key=iDRAC.Embedded.1#SNMP.1]
Object value modified successfully



Przewodnik po interfejsie wiersza poleceń RACADM kontrolera IDRAC8 https://dl.dell.com/topicspdf/idrac8-lifecycle-controller-v2818181_cli-guide_en-us.pdf
Przewodnik po interfejsie wiersza polecenia RACADM kontrolera IDRAC9 https://dl.dell.com/content/manual11141900-integrated-dell-remote-access-controller-9-racadm-cli-guide.pdf?language=en-us&ps=true

Affected Products

PowerFlex rack, VxRack, VxRail, iDRAC7, iDRAC8, iDRAC9
Article Properties
Article Number: 000208968
Article Type: How To
Last Modified: 20 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.