Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

DSA-2021-106: Säkerhetsuppdateringar för Dell-klient-plattformar för flera säkerhetsproblem i funktionerna BIOSConnect och HTTPS-start som en del av Dell-klient-BIOS

Summary: Dell släpper lösningsåtgärder för flera säkerhetsproblem som påverkar funktionerna BIOSConnect och HTTPS-start.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Impact

High

Details

Tillverkarspecifik kod CVEs Beskrivning CVSS-baspoäng CVSS-vektorsträng
CVE-2021-21571 Dell UEFI BIOS https-stack som används av funktionerna Dell BIOSConnect och Dell HTTPS-start innehåller ett säkerhetsproblem med felaktig validering av certifikat. En fjärransluten icke-autentiserad angripare kan utnyttja problemet med hjälp av en man-i-mitten-attack som kan leda till överbelastning eller manipulering av nyttolast. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funktionen Dell BIOSConnect är sårbar för buffertspill. En autentiserad skadlig administratörsanvändare med lokal åtkomst till systemet kan eventuellt utnyttja den här sårbarheten för att köra godtycklig kod och förbigå UEFI-begränsningar. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivning av funktionerna Dell BIOSConnect och HTTPS-start:
  • Funktionen Dell BIOSConnect är en prebootlösning från Dell som används för att uppdatera system-BIOS och återställa operativsystemet (OS) med hjälp av SupportAssist OS Recovery på Dell-klientplattformar. Obs! BIOSConnect kräver en fysiskt närvarande användare för att initiera den här funktionen. Endast en delmängd av plattformar med funktionen BIOSConnect. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.
  • Funktionen Dell HTTPS-start är ett tillägg till UEFI HTTP-startspecifikationerna för att starta från en HTTP(S)-server. Obs! Den här funktionen är inte konfigurerad som standard och kräver en fysiskt närvarande användare med lokala OS-administrativa rättigheter som kan konfigurera. Dessutom måste det finnas en fysiskt närvarande användare för att initiera funktionen när den används med ett trådlöst nätverk. Alla plattformar innehåller inte HTTPS-startfunktionen. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.
Ovanstående sårbarheter rapporterades som en sårbarhetskedja. Ackumulerade poäng för den sårbara kedjan är: 8,3 Hög CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Det krävs ytterligare steg för att utnyttja kedjan:
  • För att kunna utnyttja den sårbara kedjan i BIOSConnect måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att kunna använda funktionen BIOSConnect.
  • För att kunna utnyttja sårbarheten i HTTPS-start måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att ändra startordningen och använda funktionen HTTPS-start.
Utöver att använda åtgärderna nedan kan kunderna dessutom skydda sig genom att följa säkerhetspraxis och endast använda säkra nätverk för att förhindra otillåten lokal och fysisk åtkomst till enheter. Kunderna bör även aktivera plattformens säkerhetsfunktioner som säker start (aktiverad som standard för Dell-plattformar med Windows) och BIOS-adminlösenordet för utökat skydd.

Obs! Om säker start är inaktiverat kan det påverka den potentiella allvarlighetsgrad som är förknippad med säkerhetsproblemet CVE-2021-21571.
Tillverkarspecifik kod CVEs Beskrivning CVSS-baspoäng CVSS-vektorsträng
CVE-2021-21571 Dell UEFI BIOS https-stack som används av funktionerna Dell BIOSConnect och Dell HTTPS-start innehåller ett säkerhetsproblem med felaktig validering av certifikat. En fjärransluten icke-autentiserad angripare kan utnyttja problemet med hjälp av en man-i-mitten-attack som kan leda till överbelastning eller manipulering av nyttolast. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funktionen Dell BIOSConnect är sårbar för buffertspill. En autentiserad skadlig administratörsanvändare med lokal åtkomst till systemet kan eventuellt utnyttja den här sårbarheten för att köra godtycklig kod och förbigå UEFI-begränsningar. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivning av funktionerna Dell BIOSConnect och HTTPS-start:
  • Funktionen Dell BIOSConnect är en prebootlösning från Dell som används för att uppdatera system-BIOS och återställa operativsystemet (OS) med hjälp av SupportAssist OS Recovery på Dell-klientplattformar. Obs! BIOSConnect kräver en fysiskt närvarande användare för att initiera den här funktionen. Endast en delmängd av plattformar med funktionen BIOSConnect. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.
  • Funktionen Dell HTTPS-start är ett tillägg till UEFI HTTP-startspecifikationerna för att starta från en HTTP(S)-server. Obs! Den här funktionen är inte konfigurerad som standard och kräver en fysiskt närvarande användare med lokala OS-administrativa rättigheter som kan konfigurera. Dessutom måste det finnas en fysiskt närvarande användare för att initiera funktionen när den används med ett trådlöst nätverk. Alla plattformar innehåller inte HTTPS-startfunktionen. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.
Ovanstående sårbarheter rapporterades som en sårbarhetskedja. Ackumulerade poäng för den sårbara kedjan är: 8,3 Hög CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Det krävs ytterligare steg för att utnyttja kedjan:
  • För att kunna utnyttja den sårbara kedjan i BIOSConnect måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att kunna använda funktionen BIOSConnect.
  • För att kunna utnyttja sårbarheten i HTTPS-start måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att ändra startordningen och använda funktionen HTTPS-start.
Utöver att använda åtgärderna nedan kan kunderna dessutom skydda sig genom att följa säkerhetspraxis och endast använda säkra nätverk för att förhindra otillåten lokal och fysisk åtkomst till enheter. Kunderna bör även aktivera plattformens säkerhetsfunktioner som säker start (aktiverad som standard för Dell-plattformar med Windows) och BIOS-adminlösenordet för utökat skydd.

Obs! Om säker start är inaktiverat kan det påverka den potentiella allvarlighetsgrad som är förknippad med säkerhetsproblemet CVE-2021-21571.
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

CVE-2021-21573 och CVE-2021-21574 åtgärdades i BIOSConnect-relaterade komponenter på Dell-serverdelen den 28 maj 2021 och kräver ingen ytterligare kundåtgärd.

CVE-2021-21571 och CVE-2021-21572 kräver uppdatering av Dell-klient-BIOS för att problemen ska kunna åtgärdas. I tabellen under avsnittet Ytterligare information kan du ta reda på vilken version av det åtgärdade Dell-klient-BIOS som du ska använda för ditt system. Det finns flera sätt för att uppdatera Dell-klient-BIOS. Om du vanligtvis använder BIOSConnect för att uppdatera BIOS rekommenderar Dell att du använder en annan metod för att tillämpa BIOS-uppdateringarna, t. ex.: För de som inte kan installera BIOS-uppdateringarna omedelbart har Dell även en provisorisk åtgärd för att inaktivera funktionerna för BIOSConnect och HTTPS-start. Se avsnittet nedan.
CVE-2021-21573 och CVE-2021-21574 åtgärdades i BIOSConnect-relaterade komponenter på Dell-serverdelen den 28 maj 2021 och kräver ingen ytterligare kundåtgärd.

CVE-2021-21571 och CVE-2021-21572 kräver uppdatering av Dell-klient-BIOS för att problemen ska kunna åtgärdas. I tabellen under avsnittet Ytterligare information kan du ta reda på vilken version av det åtgärdade Dell-klient-BIOS som du ska använda för ditt system. Det finns flera sätt för att uppdatera Dell-klient-BIOS. Om du vanligtvis använder BIOSConnect för att uppdatera BIOS rekommenderar Dell att du använder en annan metod för att tillämpa BIOS-uppdateringarna, t. ex.: För de som inte kan installera BIOS-uppdateringarna omedelbart har Dell även en provisorisk åtgärd för att inaktivera funktionerna för BIOSConnect och HTTPS-start. Se avsnittet nedan.

Följande är en lista över påverkade produkter, utgivningsdatum och de lägsta BIOS-versioner som ska användas:   
 

Produkt Uppdateringsversion för BIOS
(eller senare)
Stöder BIOSConnect Stöd för HTTP(s)-start Publiceringsdatum (ÅÅÅÅ-MM-DD)
Förväntad publicering (månad år)
Alienware m15 R6 1.3.3 Ja Ja 2021-06-21
ChengMing 3990 1.4.1 Ja Nej 2021-06-23
ChengMing 3991 1.4.1 Ja Nej 2021-06-23
Dell G15 5510 1.4.0 Ja Ja 2021-06-21
Dell G15 5511 1.3.3 Ja Ja 2021-06-21
Dell G3 3500 1.9.0 Ja Nej 2021-06-24
Dell G5 5500 1.9.0 Ja Nej 2021-06-24
Dell G7 7500 1.9.0 Ja Nej 2021-06-23
Dell G7 7700 1.9.0 Ja Nej 2021-06-23
Inspiron 14 5418 2.1.0 A06 Ja Ja 2021-06-24
Inspiron 15 5518 2.1.0 A06 Ja Ja 2021-06-24
Inspiron 15 7510 1.0.4 Ja Ja 2021-06-23
Inspiron 3501 1.6.0 Ja Nej 2021-06-23
Inspiron 3880 1.4.1 Ja Nej 2021-06-23
Inspiron 3881 1.4.1 Ja Nej 2021-06-23
Inspiron 3891 1.0.11 Ja Ja 2021-06-24
Inspiron 5300 1.7.1 Ja Nej 2021-06-23
Inspiron 5301 1.8.1 Ja Nej 2021-06-23
Inspiron 5310 2.1.0 Ja Ja 2021-06-23
Inspiron 5400 2-i-1 1.7.0 Ja Nej 2021-06-23
Inspiron 5400 allt-i-ett 1.4.0 Ja Nej 2021-06-23
Inspiron 5401 1.7.2 Ja Nej 2021-06-23
Inspiron 5401 allt-i-ett 1.4.0 Ja Nej 2021-06-23
Inspiron 5402 1.5.1 Ja Nej 2021-06-23
Inspiron 5406 2-i-1 1.5.1 Ja Nej 2021-06-23
Inspiron 5408 1.7.2 Ja Nej 2021-06-23
Inspiron 5409 1.5.1 Ja Nej 2021-06-23
Inspiron 5410 2-i-1 2.1.0 Ja Ja 2021-06-23
Inspiron 5501 1.7.2 Ja Nej 2021-06-23
Inspiron 5502 1.5.1 Ja Nej 2021-06-23
Inspiron 5508 1.7.2 Ja Nej 2021-06-23
Inspiron 5509 1.5.1 Ja Nej 2021-06-23
Inspiron 7300 1.8.1 Ja Nej 2021-06-23
Inspiron 7300 2-i-1 1.3.0 Ja Nej 2021-06-23
Inspiron 7306 2-i-1 1.5.1 Ja Nej 2021-06-23
Inspiron 7400 1.8.1 Ja Nej 2021-06-23
Inspiron 7500 1.8.0 Ja Nej 2021-06-23
Inspiron 7500 2-i-1 – svart 1.3.0 Ja Nej 2021-06-23
Inspiron 7500 2-i-1 – silver 1.3.0 Ja Nej 2021-06-23
Inspiron 7501 1.8.0 Ja Nej 2021-06-23
Inspiron 7506 2-i-1 1.5.1 Ja Nej 2021-06-23
Inspiron 7610 1.0.4 Ja Ja 2021-06-23
Inspiron 7700 allt-i-ett 1.4.0 Ja Nej 2021-06-23
Inspiron 7706 2-i-1 1.5.1 Ja Nej 2021-06-23
Latitude 3120 1.1.0 Ja Nej 2021-06-23
Latitude 3320 1.4.0 Ja Ja 2021-06-23
Latitude 3410 1.9.0 Ja Nej 2021-06-23
Latitude 3420 1.8.0 Ja Nej 2021-06-23
Latitude 3510 1.9.0 Ja Nej 2021-06-23
Latitude 3520 1.8.0 Ja Nej 2021-06-23
Latitude 5310 1.7.0 Ja Nej 2021-06-24
Latitude 5310 2-i-1 1.7.0 Ja Nej 2021-06-24
Latitude 5320 1.7.1 Ja Ja 2021-06-21
Latitude 5320 2-i-1 1.7.1 Ja Ja 2021-06-21
Latitude 5410 1.6.0 Ja Nej 2021-06-23
Latitude 5411 1.6.0 Ja Nej 2021-06-23
Latitude 5420 1.8.0 Ja Ja 2021-06-22
Latitude 5510 1.6.0 Ja Nej 2021-06-23
Latitude 5511 1.6.0 Ja Nej 2021-06-23
Latitude 5520 1.7.1 Ja Ja 2021-06-21
Latitude 5521 1.3.0 A03 Ja Ja 2021-06-22
Latitude 7210 2-i-1 1.7.0 Ja Nej 2021-06-23
Latitude 7310 1.7.0 Ja Nej 2021-06-23
Latitude 7320 1.7.1 Ja Ja 2021-06-23
Latitude 7320, fristående 1.4.0 A04 Ja Ja 2021-06-22
Latitude 7410 1.7.0 Ja Nej 2021-06-23
Latitude 7420 1.7.1 Ja Ja 2021-06-23
Latitude 7520 1.7.1 Ja Ja 2021-06-23
Latitude 9410 1.7.0 Ja Nej 2021-06-23
Latitude 9420 1.4.1 Ja Ja 2021-06-23
Latitude 9510 1.6.0 Ja Nej 2021-06-23
Latitude 9520 1.5.2 Ja Ja 2021-06-23
Latitude 5421 1.3.0 A03 Ja Ja 2021-06-22
OptiPlex 3080 2.1.1 Ja Nej 2021-06-23
OptiPlex 3090 UFF 1.2.0 Ja Ja 2021-06-23
OptiPlex 3280 allt-i-ett 1.7.0 Ja Nej 2021-06-23
OptiPlex 5080 1.4.0 Ja Nej 2021-06-23
OptiPlex 5090 torn 1.1.35 Ja Ja 2021-06-23
OptiPlex 5490 AIO 1.3.0 Ja Ja 2021-06-24
OptiPlex 7080 1.4.0 Ja Nej 2021-06-23
OptiPlex 7090 torn 1.1.35 Ja Ja 2021-06-23
OptiPlex 7090 UFF 1.2.0 Ja Ja 2021-06-23
OptiPlex 7480 allt-i-ett 1.7.0 Ja Nej 2021-06-23
OptiPlex 7490 allt-i-ett 1.3.0 Ja Ja 2021-06-24
OptiPlex 7780 allt-i-ett 1.7.0 Ja Nej 2021-06-23
Precision 17 M5750 1.8.2 Ja Nej 2021-06-09
Precision 3440 1.4.0 Ja Nej 2021-06-23
Precision 3450 1.1.35 Ja Ja 2021-06-24
Precision 3550 1.6.0 Ja Nej 2021-06-23
Precision 3551 1.6.0 Ja Nej 2021-06-23
Precision 3560 1.7.1 Ja Ja 2021-06-21
Precision 3561 1.3.0 A03 Ja Ja 2021-06-22
Precision 3640 1.6.2 Ja Nej 2021-06-23
Precision 3650 MT 1.2.0 Ja Ja 2021-06-24
Precision 5550 1.8.1 Ja Nej 2021-06-23
Precision 5560 1.3.2 Ja Ja 2021-06-23
Precision 5760 1.1.3 Ja Ja 2021-06-16
Precision 7550 1.8.0 Ja Nej 2021-06-23
Precision 7560 1.1.2 Ja Ja 2021-06-22
Precision 7750 1.8.0 Ja Nej 2021-06-23
Precision 7760 1.1.2 Ja Ja 2021-06-22
Vostro 14 5410 2.1.0 A06 Ja Ja 2021-06-24
Vostro 15 5510 2.1.0 A06 Ja Ja 2021-06-24
Vostro 15 7510 1.0.4 Ja Ja 2021-06-23
Vostro 3400 1.6.0 Ja Nej 2021-06-23
Vostro 3500 1.6.0 Ja Nej 2021-06-23
Vostro 3501 1.6.0 Ja Nej 2021-06-23
Vostro 3681 2.4.0 Ja Nej 2021-06-23
Vostro 3690 1.0.11 Ja Ja 2021-06-24
Vostro 3881 2.4.0 Ja Nej 2021-06-23
Vostro 3888 2.4.0 Ja Nej 2021-06-23
Vostro 3890 1.0.11 Ja Ja 2021-06-24
Vostro 5300 1.7.1 Ja Nej 2021-06-23
Vostro 5301 1.8.1 Ja Nej 2021-06-23
Vostro 5310 2.1.0 Ja Ja 2021-06-23
Vostro 5401 1.7.2 Ja Nej 2021-06-23
Vostro 5402 1.5.1 Ja Nej 2021-06-23
Vostro 5501 1.7.2 Ja Nej 2021-06-23
Vostro 5502 1.5.1 Ja Nej 2021-06-23
Vostro 5880 1.4.0 Ja Nej 2021-06-23
Vostro 5890 1.0.11 Ja Ja 2021-06-24
Vostro 7500 1.8.0 Ja Nej 2021-06-23
XPS 13 9305 1.0.8 Ja Nej 2021-06-23
XPS 13 2-i-1 9310 2.3.3 Ja Nej 2021-06-23
XPS 13 9310 3.0.0 Ja Nej 2021-06-24
XPS 15 9500 1.8.1 Ja Nej 2021-06-23
XPS 15 9510 1.3.2 Ja Ja 2021-06-23
XPS 17 9700 1.8.2 Ja Nej 2021-06-09
XPS 17 9710 1.1.3 Ja Ja 2021-06-15

Workarounds & Mitigations

Dell rekommenderar alla kunder att uppdatera till den senaste versionen av Dell-klient-BIOS så snart som möjligt. Kunder som väljer att inte tillämpa BIOS-uppdateringar omedelbart eller som inte kan göra det nu, bör tillämpa nedanstående skyddsåtgärd.

BIOSConnect:

Kunderna kan inaktivera funktionen BIOSConnect med ett av två alternativ:
Alternativ 1: Kunderna kan inaktivera BIOSConnect från sidan BIOS-inställningar (F2).
Obs! Kunderna hittar alternativet BIOSConnect under olika BIOS-inställningsmenyer beroende på deras plattformsmodell. De här visas nedan som BIOS-inställningsmenyn typ A och BIOS-inställningsmeny typ B.
BIOS-inställningsmeny typ A: F2 > Update, Recovery > BIOSConnect > Switch to Off.
BIOS-inställningsmeny typ B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Uncheck BIOSConnect option.
 
Alternativ 2: Kunderna kan använda fjärrsystemhanteringsverktyget i Dell Command | Configure (DCC) för att inaktivera BIOSConnect i BIOS-inställningarna.
 
Obs! Dell rekommenderar att kunderna inte kör ”BIOS Flash Update - Remote” från F12 förrän systemet har uppdaterats med en åtgärdad version av BIOS.

HTTPS-start:
Kunderna kan inaktivera funktionen HTTPS-start med ett av två alternativ:
Alternativ 1: Kunderna kan inaktivera BIOSConnect från sidan BIOS-inställningar (F2).
BIOS-inställningsmeny typ A: F2 > Connection > HTTP(s) Boot > Switch to Off.
BIOS-inställningsmeny typ B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Uncheck BIOSConnect option.
Alternativ 2: Kunderna kan använda fjärrsystemhanteringsverktyget i Dell Command | Konfigurera (DCC) för att inaktivera stöd för HTTP-start.

Revision History

RevisionDate (datum)Beskrivning
1.02021-06-24Ursprunglig version

Acknowledgements

Dell vill tacka Mickey Shkatov och Jesse Michael från Eclypsium som rapporterat in det här problemet.

Related Information

Affected Products

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Products

Product Security Information
Article Properties
Article Number: 000188682
Article Type: Dell Security Advisory
Last Modified: 15 Sep 2021
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.