Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits

DSA-2021-106: Sikkerhetsoppdateringer for Dell-klientplattformer for flere sikkerhetsproblemer i BIOSConnect og HTTPS-oppstartsfunksjonene som en del av Dell-klient-BIOS

Résumé: Dell gir ut utbedringer for flere sikkerhetsproblemer som berører funksjonene for BIOSConnect og HTTPS-oppstart.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Impact

High

Détails

CVE-er for rettighetsbeskyttet kode Beskrivelse CVSS-grunnpoengsum CVSS Vector-streng
CVE-2021-21571 Dell UEFI BIOS https-stabel som utnyttes av Dell BIOSConnect-funksjonen, og Dell HTTPS oppstartsfunksjonen inneholder et problem med uriktig sertifikatsvalidering. En ekstern, ikke-autentisert angriper kan utnytte dette sikkerhetsproblemet ved hjelp av et mellommannsangrep som kan føre til tjenestenekt og forfalsking av nyttelast. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funksjonen inneholder et sikkerhetsproblem med bufferoverflyt. En autentisert, ondsinnet administratorbruker med lokal tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å kjøre vilkårlig kode og omgå UEFI-begrensningene. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse av Dell-BIOSConnect- og HTTPS-oppstartsfunksjonene:
  • Dell BIOSConnect-funksjonen er en preboot-løsning fra Dell som brukes til å oppdatere systemets BIOS og gjenopprette operativsystemet (OS) ved hjelp av SupportAssist OS Recovery på Dell-klientplattformer. Merk: BIOSConnect krever en fysisk tilstedeværende bruker for å starte denne funksjonen. Bare et delsett av plattformer med BIOSConnect-funksjonen påvirkes. Se tabellen under Tilleggsinformasjon nedenfor for de berørte plattformene.
  • Dell HTTPS-oppstartsfunksjonen er en utvidelse for UEFI-oppstartsspesifikasjonene for å starte opp fra en HTTP(S)-server. Merk: Denne funksjonen er ikke konfigurert som standard og krever en fysisk tilstedeværende bruker med administratorrettigheter for lokale operativsystemer for å konfigurere. I tillegg er det nødvendig med en fysisk tilstedeværende bruker for å starte funksjonen når den brukes sammen med trådløse nettverk. Ikke alle plattformer inneholder HTTPS-oppstartsfunksjonen. Se tabellen under Tilleggsinformasjon nedenfor for å finne en liste over påvirkede plattformer.
De ovenstående sikkerhetsproblemene ble rapportert som en kjede av sikkerhetsproblemer. Den kumulative poengsummen for sikkerhetsproblemkjeden er: 8.3 Høy CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Ytterligere trinn kreves for å utnytte kjeden:
  • For å kunne utnytte sikkerhetsproblemet i BIOSConnect må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å bruke BIOSConnect-funksjonen.
  • For å kunne utnytte sikkerhetsproblemet i HTTPS-oppstart, må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å endre oppstartsrekkefølgen og bruke HTTPS-oppstartsfunksjonen.
I tillegg til å bruke de nye utbedringene, kan kundene videre beskytte seg ved å følge beste praksis for sikkerhet ved bare å bruke sikrede nettverk og hindre uautorisert lokal og fysisk tilgang til enheter. Kundene bør også aktivere funksjoner for plattformsikkerhet som Secure Boot (aktivert som standard for Dell-plattformer med Windows) og administratorpassord for BIOS for ekstra beskyttelse.

Merk: Hvis Secure Boot er deaktivert, kan det påvirke den potensielle alvorlighetsgraden som er forbundet med sikkerhetsproblemet i CVE-2021-21571.
CVE-er for rettighetsbeskyttet kode Beskrivelse CVSS-grunnpoengsum CVSS Vector-streng
CVE-2021-21571 Dell UEFI BIOS https-stabel som utnyttes av Dell BIOSConnect-funksjonen, og Dell HTTPS oppstartsfunksjonen inneholder et problem med uriktig sertifikatsvalidering. En ekstern, ikke-autentisert angriper kan utnytte dette sikkerhetsproblemet ved hjelp av et mellommannsangrep som kan føre til tjenestenekt og forfalsking av nyttelast. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funksjonen inneholder et sikkerhetsproblem med bufferoverflyt. En autentisert, ondsinnet administratorbruker med lokal tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å kjøre vilkårlig kode og omgå UEFI-begrensningene. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse av Dell-BIOSConnect- og HTTPS-oppstartsfunksjonene:
  • Dell BIOSConnect-funksjonen er en preboot-løsning fra Dell som brukes til å oppdatere systemets BIOS og gjenopprette operativsystemet (OS) ved hjelp av SupportAssist OS Recovery på Dell-klientplattformer. Merk: BIOSConnect krever en fysisk tilstedeværende bruker for å starte denne funksjonen. Bare et delsett av plattformer med BIOSConnect-funksjonen påvirkes. Se tabellen under Tilleggsinformasjon nedenfor for de berørte plattformene.
  • Dell HTTPS-oppstartsfunksjonen er en utvidelse for UEFI-oppstartsspesifikasjonene for å starte opp fra en HTTP(S)-server. Merk: Denne funksjonen er ikke konfigurert som standard og krever en fysisk tilstedeværende bruker med administratorrettigheter for lokale operativsystemer for å konfigurere. I tillegg er det nødvendig med en fysisk tilstedeværende bruker for å starte funksjonen når den brukes sammen med trådløse nettverk. Ikke alle plattformer inneholder HTTPS-oppstartsfunksjonen. Se tabellen under Tilleggsinformasjon nedenfor for å finne en liste over påvirkede plattformer.
De ovenstående sikkerhetsproblemene ble rapportert som en kjede av sikkerhetsproblemer. Den kumulative poengsummen for sikkerhetsproblemkjeden er: 8.3 Høy CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Ytterligere trinn kreves for å utnytte kjeden:
  • For å kunne utnytte sikkerhetsproblemet i BIOSConnect må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å bruke BIOSConnect-funksjonen.
  • For å kunne utnytte sikkerhetsproblemet i HTTPS-oppstart, må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å endre oppstartsrekkefølgen og bruke HTTPS-oppstartsfunksjonen.
I tillegg til å bruke de nye utbedringene, kan kundene videre beskytte seg ved å følge beste praksis for sikkerhet ved bare å bruke sikrede nettverk og hindre uautorisert lokal og fysisk tilgang til enheter. Kundene bør også aktivere funksjoner for plattformsikkerhet som Secure Boot (aktivert som standard for Dell-plattformer med Windows) og administratorpassord for BIOS for ekstra beskyttelse.

Merk: Hvis Secure Boot er deaktivert, kan det påvirke den potensielle alvorlighetsgraden som er forbundet med sikkerhetsproblemet i CVE-2021-21571.
Dell Technologies recommande à tous les clients de prendre en compte à la fois le score de base CVSS et les scores temporels et environnementaux pertinents qui peuvent avoir un impact sur la gravité potentielle associée à une faille de sécurité donnée.

Produits concernés et mesure corrective

CVE-2021-21573 og CVE-2021-21574 ble utbedret på Dell-bakservere i BIOSConnect-relaterte komponenter 28. mai 2021 og krever ikke at kunden gjør noe mer.

CVE-2021-21571 og CVE-2021-21572 krever Dell klient-BIOS-oppdateringer for å løse sikkerhetsproblemene. Se tabellen under Tilleggsinformasjon for å fastslå hvilken versjon av den utbedrede Dell klient-BIOS-en som skal brukes på systemet ditt. Det finnes flere måter å oppdatere en Dell klient-BIOS på. Hvis du vanligvis bruker BIOSConnect til å oppdatere BIOS, anbefaler Dell at du bruker en annen metode for å aktivere BIOS-oppdateringer, for eksempel: For de som ikke kan bruke BIOS-oppdateringer umiddelbart, har Dell også lagd en midlertidig løsning for å deaktivere funksjonene for BIOSConnect- og HTTPS-oppstart. Se avsnittet nedenfor.
CVE-2021-21573 og CVE-2021-21574 ble utbedret på Dell-bakservere i BIOSConnect-relaterte komponenter 28. mai 2021 og krever ikke at kunden gjør noe mer.

CVE-2021-21571 og CVE-2021-21572 krever Dell klient-BIOS-oppdateringer for å løse sikkerhetsproblemene. Se tabellen under Tilleggsinformasjon for å fastslå hvilken versjon av den utbedrede Dell klient-BIOS-en som skal brukes på systemet ditt. Det finnes flere måter å oppdatere en Dell klient-BIOS på. Hvis du vanligvis bruker BIOSConnect til å oppdatere BIOS, anbefaler Dell at du bruker en annen metode for å aktivere BIOS-oppdateringer, for eksempel: For de som ikke kan bruke BIOS-oppdateringer umiddelbart, har Dell også lagd en midlertidig løsning for å deaktivere funksjonene for BIOSConnect- og HTTPS-oppstart. Se avsnittet nedenfor.

Følgende er en liste over berørte produkter og utgivelsesdatoer og minimumsversjoner av BIOS som skal brukes:   
 

Produkt BIOS-oppdateringsversjon
(eller høyere)
Støtter BIOSConnect Støtter HTTP(s)-oppstart Utgivelsesdato (MM/DD/ÅÅÅÅ)
forventet lansering (måned/YYYY)
Alienware m15 R6 1.3.3 Ja Ja 21.06.2021
ChengMing 3990 1.4.1 Ja Nei 23.06.2021
ChengMing 3991 1.4.1 Ja Nei 23.06.2021
Dell G15 5510 0.4.1 Ja Ja 21.06.2021
Dell G15 5511 1.3.3 Ja Ja 21.06.2021
Dell G3 3500 0.9.1 Ja Nei 24.06.2021
Dell G5 5500 0.9.1 Ja Nei 24.06.2021
Dell G7 7500 0.9.1 Ja Nei 23.06.2021
Dell G7 7700 0.9.1 Ja Nei 23.06.2021
Inspiron 14 5418 2.1.0 A06 Ja Ja 24.06.2021
Inspiron 15 5518 2.1.0 A06 Ja Ja 24.06.2021
Inspiron 15 7510 1.4.0 Ja Ja 23.06.2021
Inspiron 3501 1.6.0 Ja Nei 23.06.2021
Inspiron 3880 1.4.1 Ja Nei 23.06.2021
Inspiron 3881 1.4.1 Ja Nei 23.06.2021
Inspiron 3891 1.0.11 Ja Ja 24.06.2021
Inspiron 5300 1.7.1 Ja Nei 23.06.2021
Inspiron 5301 1.8.1 Ja Nei 23.06.2021
Inspiron 5310 2.1.0 Ja Ja 23.06.2021
Inspiron 5400 2-i-1-enhet 1.7.0 Ja Nei 23.06.2021
Inspiron 5400 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 5401 2.7.1 Ja Nei 23.06.2021
Inspiron 5401 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 5402 1.5.1 Ja Nei 23.06.2021
Inspiron 5406 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 5408 2.7.1 Ja Nei 23.06.2021
Inspiron 5409 1.5.1 Ja Nei 23.06.2021
2-i-1-enheten Inspiron 5410 2.1.0 Ja Ja 23.06.2021
Inspiron 5501 2.7.1 Ja Nei 23.06.2021
Inspiron 5502 1.5.1 Ja Nei 23.06.2021
Inspiron 5508 2.7.1 Ja Nei 23.06.2021
Inspiron 5509 1.5.1 Ja Nei 23.06.2021
Inspiron 7300 1.8.1 Ja Nei 23.06.2021
Inspiron 7300 2-i-1-enhet 1.0.3 Ja Nei 23.06.2021
Inspiron 7306 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 7400 1.8.1 Ja Nei 23.06.2021
Inspiron 7500 1.8.0 Ja Nei 23.06.2021
Inspiron 7500 2n1 – Svart 1.0.3 Ja Nei 23.06.2021
Inspiron 7500 2n1 – Sølv 1.0.3 Ja Nei 23.06.2021
Inspiron 7501 1.8.0 Ja Nei 23.06.2021
Inspiron 7506 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 7610 1.4.0 Ja Ja 23.06.2021
Inspiron 7700 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 7706 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Latitude 3120 1.1.0 Ja Nei 23.06.2021
Latitude 3320 0.4.1 Ja Ja 23.06.2021
Latitude 3410 0.9.1 Ja Nei 23.06.2021
Latitude 3420 1.8.0 Ja Nei 23.06.2021
Latitude 3510 0.9.1 Ja Nei 23.06.2021
Latitude 3520 1.8.0 Ja Nei 23.06.2021
Latitude 5310 1.7.0 Ja Nei 24.06.2021
Latitude 5310 2-i-1 1.7.0 Ja Nei 24.06.2021
Latitude 5320 1.7.1 Ja Ja 21.06.2021
Latitude 5320 2-i-1 1.7.1 Ja Ja 21.06.2021
Latitude 5410 1.6.0 Ja Nei 23.06.2021
Latitude 5411 1.6.0 Ja Nei 23.06.2021
Latitude 5420 1.8.0 Ja Ja 22.06.2021
Latitude 5510 1.6.0 Ja Nei 23.06.2021
Latitude 5511 1.6.0 Ja Nei 23.06.2021
Latitude 5520 1.7.1 Ja Ja 21.06.2021
Latitude 5521 1.3.0 A03 Ja Ja 22.06.2021
Latitude 7210 2-i-1 1.7.0 Ja Nei 23.06.2021
Latitude 7310 1.7.0 Ja Nei 23.06.2021
Latitude 7320 1.7.1 Ja Ja 23.06.2021
Løs Latitude 7320-PC 1.4.0 A04 Ja Ja 22.06.2021
Latitude 7410 1.7.0 Ja Nei 23.06.2021
Latitude 7420 1.7.1 Ja Ja 23.06.2021
Latitude 7520 1.7.1 Ja Ja 23.06.2021
Latitude 9410 1.7.0 Ja Nei 23.06.2021
Latitude 9420 1.4.1 Ja Ja 23.06.2021
Latitude 9510 1.6.0 Ja Nei 23.06.2021
Latitude 9520 2.5.1 Ja Ja 23.06.2021
Latitude 5421 1.3.0 A03 Ja Ja 22.06.2021
OptiPlex 3080 2.1.1 Ja Nei 23.06.2021
OptiPlex 3090 UFF 1.2.0 Ja Ja 23.06.2021
OptiPlex 3280 All-in-One 1.7.0 Ja Nei 23.06.2021
OptiPlex 5080 0.4.1 Ja Nei 23.06.2021
OptiPlex 5090 tårn 1.1.35 Ja Ja 23.06.2021
OptiPlex 5490 AIO 1.0.3 Ja Ja 24.06.2021
OptiPlex 7080 0.4.1 Ja Nei 23.06.2021
OptiPlex 7090 tårn 1.1.35 Ja Ja 23.06.2021
OptiPlex 7090 UFF 1.2.0 Ja Ja 23.06.2021
OptiPlex 7480 All-in-One 1.7.0 Ja Nei 23.06.2021
OptiPlex 7490 All-in-One 1.0.3 Ja Ja 24.06.2021
OptiPlex 7780 All-in-One 1.7.0 Ja Nei 23.06.2021
Precision 17 M5750 1.8.2 Ja Nei 09.06.2021
Precision 3440 0.4.1 Ja Nei 23.06.2021
Precision 3450 1.1.35 Ja Ja 24.06.2021
Precision 3550 1.6.0 Ja Nei 23.06.2021
Precision 3551 1.6.0 Ja Nei 23.06.2021
Precision 3560 1.7.1 Ja Ja 21.06.2021
Precision 3561 1.3.0 A03 Ja Ja 22.06.2021
Precision 3640 1.6.2 Ja Nei 23.06.2021
Precision 3650 MT 1.2.0 Ja Ja 24.06.2021
Precision 5550 1.8.1 Ja Nei 23.06.2021
Precision 5560 1.2.3 Ja Ja 23.06.2021
Precision 5760 1.1.3 Ja Ja 16.06.2021
Precision 7550 1.8.0 Ja Nei 23.06.2021
Precision 7560 1.1.2 Ja Ja 22.06.2021
Precision 7750 1.8.0 Ja Nei 23.06.2021
Precision 7760 1.1.2 Ja Ja 22.06.2021
Vostro 14 5410 2.1.0 A06 Ja Ja 24.06.2021
Vostro 15 5510 2.1.0 A06 Ja Ja 24.06.2021
Vostro 15 7510 1.4.0 Ja Ja 23.06.2021
Vostro 3400 1.6.0 Ja Nei 23.06.2021
Vostro 3500 1.6.0 Ja Nei 23.06.2021
Vostro 3501 1.6.0 Ja Nei 23.06.2021
Vostro 3681 2.4.0 Ja Nei 23.06.2021
Vostro 3690 1.0.11 Ja Ja 24.06.2021
Vostro 3881 2.4.0 Ja Nei 23.06.2021
Vostro 3888 2.4.0 Ja Nei 23.06.2021
Vostro 3890 1.0.11 Ja Ja 24.06.2021
Vostro 5300 1.7.1 Ja Nei 23.06.2021
Vostro 5301 1.8.1 Ja Nei 23.06.2021
Vostro 5310 2.1.0 Ja Ja 23.06.2021
Vostro 5401 2.7.1 Ja Nei 23.06.2021
Vostro 5402 1.5.1 Ja Nei 23.06.2021
Vostro 5501 2.7.1 Ja Nei 23.06.2021
Vostro 5502 1.5.1 Ja Nei 23.06.2021
Vostro 5880 0.4.1 Ja Nei 23.06.2021
Vostro 5890 1.0.11 Ja Ja 24.06.2021
Vostro 7500 1.8.0 Ja Nei 23.06.2021
XPS 13 9305 1.8.0 Ja Nei 23.06.2021
XPS 13 2-i-1  9310 2.3.3 Ja Nei 23.06.2021
XPS 13 9310 3.0.0 Ja Nei 24.06.2021
XPS 15 9500 1.8.1 Ja Nei 23.06.2021
XPS 15 9510 1.2.3 Ja Ja 23.06.2021
XPS 17 9700 1.8.2 Ja Nei 09.06.2021
XPS 17 9710 1.1.3 Ja Ja 15.06.2021

Solutions de contournement et mesures d’atténuation

Dell anbefaler at alle kunder oppdaterer til den neste Dell-klient-BIOS-versjonen ved første anledning. Kunder som velger å ikke bruke BIOS-oppdateringer med en gang, eller som på annen måte ikke kan gjøre det nå, bør bruke løsningen nedenfor.

BIOSConnect:

Kunder kan deaktivere BIOSConnect-funksjonen ved hjelp av ett av to alternativer:
Alternativ 1: Kunder kan deaktivere BIOSConnect fra BIOS-konfigurasjonsiden (F2).
Merk: Kunden kan finne BIOSConnect-alternativet under ulike grensesnitt for BIOS-konfigurasjonsmenyen, avhengig av plattformmodellen. Disse vises nedenfor som BIOS-konfigurasjonsmeny Type A og BIOS-konfigurasjonsmeny Type B.
BIOS-konfigurasjonsmeny Type A: F2 > Update, Recovery > BIOSConnect > Slå av.
BIOS-konfigurasjonsmeny Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Fjern avkrysningen ved BIOSConnect-alternativet.
 
Alternativ 2: Kunder kan gjøre bruk av det eksterne verktøyet for systemadministrasjon i Dell Command | Configure (DCC) for å deaktivere BIOSConnect BIOS-innstillinger.
 
Merk: Dell anbefaler at kunder ikke kjører «BIOS Flash Update – Remote» fra F12 før systemet er oppdatert med en utbedret versjon av BIOS.

HTTPS-oppstart:
Kunder kan deaktivere HTTPS-oppstartsfunksjonen ved hjelp av ett av to alternativer:
Alternativ 1: Kunder kan deaktivere BIOSConnect fra BIOS-konfigurasjonsiden (F2).
BIOS-konfigurasjonsmeny Type A: F2 > Connection > HTTP(s) Boot > Slå av.
BIOS-konfigurasjonsmeny Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Fjern avkrysningen ved BIOSConnect-alternativet.
Alternativ 2: Kunder kan gjøre bruk av det eksterne verktøyet for systemadministrasjon i Dell Command | Configure (DCC) for å deaktivere støtte for HTTP-oppstart.

Historique des révisions

RevisjonDatoBeskrivelse
1.024.06.2021Første lansering

Remerciements

Dell ønsker å takke Mickey Shkatov og Jesse Michael i Eclypsium for at de rapporterte dette problemet.

Informations connexes

Produits concernés

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Produits

Product Security Information
Propriétés de l’article
Numéro d’article: 000188682
Type d’article: Dell Security Advisory
Dernière modification: 15 sept. 2021
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.