Passa al contenuto principale
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti

DSA-2021-106: Aktualizacja zabezpieczeń platformy klienckiej firmy Dell dla wielu luk w funkcjach BIOSConnect i HTTPS Boot jako część klienckiego systemu BIOS firmy Dell

Riepilogo: Firma Dell udostępnia środki zaradcze dla wielu luk w zabezpieczeniach wpływających na funkcje BIOSConnect i HTTPS Boot.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.

Impatto

High

Dettagli

Zastrzeżony kod CVE Opis Ocena bazowa CVSS Ciąg wektora CVSS
CVE-2021-21571 Stos https systemu BIOS UEFI firmy Dell, wykorzystywany przez funkcje Dell BIOSConnect i Dell HTTPS Boot, zawiera lukę w postaci nieprawidłowej weryfikacji certyfikatu. Zdalna nieuwierzytelniona osoba atakująca może wykorzystać tę lukę poprzez atak typu „person-in-the-middle”, który może prowadzić do odmowy usługi i manipulacji przy ładunku. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funkcja BIOSConnect firmy Dell zawiera lukę przepełnienia buforu pamięci. Uwierzytelniony złośliwy użytkownik admin z lokalnym dostępem do systemu może potencjalnie wykorzystać tę lukę do wykonania dowolnego kodu i ominięcia ograniczeń UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Opis funkcji Dell BIOSConnect i HTTPS Boot:
  • Dell BIOSConnect jest rozwiązaniem Dell przed uruchomieniem, służącym do aktualizacji systemu BIOS i przywracania systemu operacyjnego przy użyciu aplikacji SupportAssist OS Recovery na platformach klienckich firmy Dell. Uwaga: BIOSConnect wymaga od użytkownika fizycznego zainicjowania tej funkcji. Problem dotyczy tylko podzestawu platform z funkcją BIOSConnect. Tabela pod sekcją Informacje dodatkowe zawiera zagrożone platformy.
  • Funkcja Dell HTTPS Boot to rozszerzenie specyfikacji HTTP Boot UEFI do uruchamiania z serwera HTTP(S). Uwaga: ta funkcja nie jest domyślnie skonfigurowana i wymaga fizycznej obecności użytkownika z lokalnymi prawami administratora systemu operacyjnego do konfigurowania. Ponadto, w przypadku stosowania z sieciami bezprzewodowymi, fizycznie obecny użytkownik musi zainicjować tę funkcję. Nie wszystkie platformy zawierają funkcję HTTPS Boot. Tabela pod sekcją Informacje dodatkowe zawiera listę zagrożonych platform.
Powyższe luki zostały zgłoszone jako łańcuch luk. Łączny wynik łańcucha luk to: 8.3 Wysoki CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Wykorzystanie łańcucha wymaga wykonania dodatkowych czynności:
  • W celu wykorzystania łańcucha luk w funkcji BIOSConnect złośliwa osoba musi osobno wykonać dodatkowe czynności przed udanym wykorzystaniem zagrożenia, w tym: naruszenie sieci użytkownika, uzyskanie certyfikatu zaufanego przez jedną z wbudowanych instytucji certyfikujących stosu https systemu BIOS UEFI firmy Dell i poczekanie na użytkownika fizycznie obecnego w systemie, aby użyć funkcji BIOSConnect.
  • W celu wykorzystania łańcucha luk w funkcji HTTPS Boot złośliwa osoba musi osobno wykonać dodatkowe czynności przed udanym wykorzystaniem zagrożenia, w tym: naruszenie sieci użytkownika, uzyskanie certyfikatu zaufanego przez jedną z wbudowanych instytucji certyfikujących stosu https systemu BIOS UEFI firmy Dell i poczekanie na użytkownika fizycznie obecnego w systemie, aby zmienić kolejność rozruchu i użyć funkcji HTTPS Boot.
Poza zastosowaniem poniższych działań naprawczych klienci mogą zabezpieczyć się dodatkowo poprzez korzystanie z zabezpieczonych sieci i zapobieganie nieautoryzowanemu dostępowi lokalnemu i fizycznemu do urządzeń. Klienci powinni także włączyć funkcje zabezpieczeń platformy, takie jak Secure Boot (domyślnie włączone dla platform Dell z systemem Windows) i hasło administratora systemu BIOS w celu dodatkowej ochrony.

Uwaga: jeśli opcja Secure Boot jest wyłączona, może to mieć wpływ na skalę potencjalnego zagrożenia związanego z luką w zabezpieczeniach CVE-2021-21571.
Zastrzeżony kod CVE Opis Ocena bazowa CVSS Ciąg wektora CVSS
CVE-2021-21571 Stos https systemu BIOS UEFI firmy Dell, wykorzystywany przez funkcje Dell BIOSConnect i Dell HTTPS Boot, zawiera lukę w postaci nieprawidłowej weryfikacji certyfikatu. Zdalna nieuwierzytelniona osoba atakująca może wykorzystać tę lukę poprzez atak typu „person-in-the-middle”, który może prowadzić do odmowy usługi i manipulacji przy ładunku. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Funkcja BIOSConnect firmy Dell zawiera lukę przepełnienia buforu pamięci. Uwierzytelniony złośliwy użytkownik admin z lokalnym dostępem do systemu może potencjalnie wykorzystać tę lukę do wykonania dowolnego kodu i ominięcia ograniczeń UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Opis funkcji Dell BIOSConnect i HTTPS Boot:
  • Dell BIOSConnect jest rozwiązaniem Dell przed uruchomieniem, służącym do aktualizacji systemu BIOS i przywracania systemu operacyjnego przy użyciu aplikacji SupportAssist OS Recovery na platformach klienckich firmy Dell. Uwaga: BIOSConnect wymaga od użytkownika fizycznego zainicjowania tej funkcji. Problem dotyczy tylko podzestawu platform z funkcją BIOSConnect. Tabela pod sekcją Informacje dodatkowe zawiera zagrożone platformy.
  • Funkcja Dell HTTPS Boot to rozszerzenie specyfikacji HTTP Boot UEFI do uruchamiania z serwera HTTP(S). Uwaga: ta funkcja nie jest domyślnie skonfigurowana i wymaga fizycznej obecności użytkownika z lokalnymi prawami administratora systemu operacyjnego do konfigurowania. Ponadto, w przypadku stosowania z sieciami bezprzewodowymi, fizycznie obecny użytkownik musi zainicjować tę funkcję. Nie wszystkie platformy zawierają funkcję HTTPS Boot. Tabela pod sekcją Informacje dodatkowe zawiera listę zagrożonych platform.
Powyższe luki zostały zgłoszone jako łańcuch luk. Łączny wynik łańcucha luk to: 8.3 Wysoki CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Wykorzystanie łańcucha wymaga wykonania dodatkowych czynności:
  • W celu wykorzystania łańcucha luk w funkcji BIOSConnect złośliwa osoba musi osobno wykonać dodatkowe czynności przed udanym wykorzystaniem zagrożenia, w tym: naruszenie sieci użytkownika, uzyskanie certyfikatu zaufanego przez jedną z wbudowanych instytucji certyfikujących stosu https systemu BIOS UEFI firmy Dell i poczekanie na użytkownika fizycznie obecnego w systemie, aby użyć funkcji BIOSConnect.
  • W celu wykorzystania łańcucha luk w funkcji HTTPS Boot złośliwa osoba musi osobno wykonać dodatkowe czynności przed udanym wykorzystaniem zagrożenia, w tym: naruszenie sieci użytkownika, uzyskanie certyfikatu zaufanego przez jedną z wbudowanych instytucji certyfikujących stosu https systemu BIOS UEFI firmy Dell i poczekanie na użytkownika fizycznie obecnego w systemie, aby zmienić kolejność rozruchu i użyć funkcji HTTPS Boot.
Poza zastosowaniem poniższych działań naprawczych klienci mogą zabezpieczyć się dodatkowo poprzez korzystanie z zabezpieczonych sieci i zapobieganie nieautoryzowanemu dostępowi lokalnemu i fizycznemu do urządzeń. Klienci powinni także włączyć funkcje zabezpieczeń platformy, takie jak Secure Boot (domyślnie włączone dla platform Dell z systemem Windows) i hasło administratora systemu BIOS w celu dodatkowej ochrony.

Uwaga: jeśli opcja Secure Boot jest wyłączona, może to mieć wpływ na skalę potencjalnego zagrożenia związanego z luką w zabezpieczeniach CVE-2021-21571.
Dell Technologies raccomanda a tutti i clienti di prendere in considerazione sia il punteggio base CVSS, sia ogni eventuale punteggio temporale o ambientale che possa avere effetti sul livello di gravità potenziale associato a una specifica vulnerabilità di sicurezza.

Prodotti interessati e correzione

CVE-2021-21573 i CVE-2021-21574 zostały skorygowane w komponentach związanych z BIOSConnect na serwerach zaplecza firmy Dell 28 maja 2021 r. i nie wymagają dodatkowych działań od klienta.

CVE-2021-21571 i CVE-2021-21572 wymagają aktualizacji systemu BIOS klienta firmy Dell w celu wyeliminowania luk w zabezpieczeniach. W tabeli pod sekcją Informacje dodatkowe można znaleźć wersję naprawionego klienckiego systemu BIOS firmy Dell do zastosowania we własnym systemie. Istnieje kilka sposobów aktualizacji klienckiego systemu BIOS firmy Dell. W przypadku korzystania z funkcji BIOSConnect do aktualizacji systemu BIOS firma Dell zaleca użycie innej metody aktualizacji systemu BIOS, takiego jak: W przypadku, gdy nie można natychmiast zastosować aktualizacji systemu BIOS, firma Dell zapewnia rozwiązanie tymczasowe polegającego na wyłączeniu funkcji BIOSConnect i HTTPS Boot. Zapoznaj się z sekcją poniżej.
CVE-2021-21573 i CVE-2021-21574 zostały skorygowane w komponentach związanych z BIOSConnect na serwerach zaplecza firmy Dell 28 maja 2021 r. i nie wymagają dodatkowych działań od klienta.

CVE-2021-21571 i CVE-2021-21572 wymagają aktualizacji systemu BIOS klienta firmy Dell w celu wyeliminowania luk w zabezpieczeniach. W tabeli pod sekcją Informacje dodatkowe można znaleźć wersję naprawionego klienckiego systemu BIOS firmy Dell do zastosowania we własnym systemie. Istnieje kilka sposobów aktualizacji klienckiego systemu BIOS firmy Dell. W przypadku korzystania z funkcji BIOSConnect do aktualizacji systemu BIOS firma Dell zaleca użycie innej metody aktualizacji systemu BIOS, takiego jak: W przypadku, gdy nie można natychmiast zastosować aktualizacji systemu BIOS, firma Dell zapewnia rozwiązanie tymczasowe polegającego na wyłączeniu funkcji BIOSConnect i HTTPS Boot. Zapoznaj się z sekcją poniżej.

Poniżej znajduje się lista produktów, których dotyczy problem, daty wydania oraz minimalne wersje systemu BIOS:   
 

Produkt Wersja aktualizacji systemu BIOS
(lub nowsza)
Obsługa BIOSConnect Obsługa rozruchu HTTP(S) Data wydania (DD/MM/RRRR)
Oczekiwana data wydania (miesiąc/RRRR)
Alienware m15 R6 1.3.3 Tak Tak 2021-06-21
ChengMing 3990 1.4.1 Tak Nie 2021-06-23
ChengMing 3991 1.4.1 Tak Nie 2021-06-23
Dell G15 5510 1.4.0 Tak Tak 2021-06-21
Dell G15 5511 1.3.3 Tak Tak 2021-06-21
Dell G3 3500 1.9.0 Tak Nie 2021-06-24
Dell G5 5500 1.9.0 Tak Nie 2021-06-24
Dell G7 7500 1.9.0 Tak Nie 2021-06-23
Dell G7 7700 1.9.0 Tak Nie 2021-06-23
Inspiron 14 5418 2.1.0 A06 Tak Tak 2021-06-24
Inspiron 15 5518 2.1.0 A06 Tak Tak 2021-06-24
Inspiron 15 7510 1.0.4 Tak Tak 2021-06-23
Inspiron 3501 1.6.0 Tak Nie 2021-06-23
Inspiron 3880 1.4.1 Tak Nie 2021-06-23
Inspiron 3881 1.4.1 Tak Nie 2021-06-23
Inspiron 3891 1.0.11 Tak Tak 2021-06-24
Inspiron 5300 1.7.1 Tak Nie 2021-06-23
Inspiron 5301 1.8.1 Tak Nie 2021-06-23
Inspiron 5310 2.1.0 Tak Tak 2021-06-23
Inspiron 5400 2 w 1 1.7.0 Tak Nie 2021-06-23
Inspiron 5400 AIO 1.4.0 Tak Nie 2021-06-23
Inspiron 5401 1.7.2 Tak Nie 2021-06-23
Inspiron 5401 AIO 1.4.0 Tak Nie 2021-06-23
Inspiron 5402 1.5.1 Tak Nie 2021-06-23
Inspiron 5406 2 w 1 1.5.1 Tak Nie 2021-06-23
Inspiron 5408 1.7.2 Tak Nie 2021-06-23
Inspiron 5409 1.5.1 Tak Nie 2021-06-23
Inspiron 5410 2 w 1 2.1.0 Tak Tak 2021-06-23
Inspiron 5501 1.7.2 Tak Nie 2021-06-23
Inspiron 5502 1.5.1 Tak Nie 2021-06-23
Inspiron 5508 1.7.2 Tak Nie 2021-06-23
Inspiron 5509 1.5.1 Tak Nie 2021-06-23
Inspiron 7300 1.8.1 Tak Nie 2021-06-23
Inspiron 7300 2 w 1 1.3.0 Tak Nie 2021-06-23
Inspiron 7306 2 w 1 1.5.1 Tak Nie 2021-06-23
Inspiron 7400 1.8.1 Tak Nie 2021-06-23
Inspiron 7500 1.8.0 Tak Nie 2021-06-23
Inspiron 7500 2 w 1 - Black 1.3.0 Tak Nie 2021-06-23
Inspiron 7500 2 w 1 - Silver 1.3.0 Tak Nie 2021-06-23
Inspiron 7501 1.8.0 Tak Nie 2021-06-23
Inspiron 7506 2 w 1 1.5.1 Tak Nie 2021-06-23
Inspiron 7610 1.0.4 Tak Tak 2021-06-23
Inspiron 7700 AIO 1.4.0 Tak Nie 2021-06-23
Inspiron 7706 2 w 1 1.5.1 Tak Nie 2021-06-23
Latitude 3120 1.1.0 Tak Nie 2021-06-23
Latitude 3320 1.4.0 Tak Tak 2021-06-23
Latitude 3410 1.9.0 Tak Nie 2021-06-23
Latitude 3420 1.8.0 Tak Nie 2021-06-23
Latitude 3510 1.9.0 Tak Nie 2021-06-23
Latitude 3520 1.8.0 Tak Nie 2021-06-23
Latitude 5310 1.7.0 Tak Nie 2021-06-24
Latitude 5310 2 w 1 1.7.0 Tak Nie 2021-06-24
Latitude 5320 1.7.1 Tak Tak 2021-06-21
Latitude 5320 2 w 1 1.7.1 Tak Tak 2021-06-21
Latitude 5410 1.6.0 Tak Nie 2021-06-23
Latitude 5411 1.6.0 Tak Nie 2021-06-23
Latitude 5420 1.8.0 Tak Tak 2021-06-22
Latitude 5510 1.6.0 Tak Nie 2021-06-23
Latitude 5511 1.6.0 Tak Nie 2021-06-23
Latitude 5520 1.7.1 Tak Tak 2021-06-21
Latitude 5521 1.3.0 A03 Tak Tak 2021-06-22
Latitude 7210 2 w 1 1.7.0 Tak Nie 2021-06-23
Latitude 7310 1.7.0 Tak Nie 2021-06-23
Latitude 7320 1.7.1 Tak Tak 2021-06-23
Latitude 7320 Detachable 1.4.0 A04 Tak Tak 2021-06-22
Latitude 7410 1.7.0 Tak Nie 2021-06-23
Latitude 7420 1.7.1 Tak Tak 2021-06-23
Latitude 7520 1.7.1 Tak Tak 2021-06-23
Latitude 9410 1.7.0 Tak Nie 2021-06-23
Latitude 9420 1.4.1 Tak Tak 2021-06-23
Latitude 9510 1.6.0 Tak Nie 2021-06-23
Latitude 9520 1.5.2 Tak Tak 2021-06-23
Latitude 5421 1.3.0 A03 Tak Tak 2021-06-22
OptiPlex 3080 2.1,1. Tak Nie 2021-06-23
OptiPlex 3090 UFF 1.2.0 Tak Tak 2021-06-23
OptiPlex 3280 All-In-One 1.7.0 Tak Nie 2021-06-23
OptiPlex 5080 1.4.0 Tak Nie 2021-06-23
OptiPlex 5090 Tower 1.1.35 Tak Tak 2021-06-23
OptiPlex 5490 AIO 1.3.0 Tak Tak 2021-06-24
OptiPlex 7080 1.4.0 Tak Nie 2021-06-23
OptiPlex 7090 Tower 1.1.35 Tak Tak 2021-06-23
OptiPlex 7090 UFF 1.2.0 Tak Tak 2021-06-23
OptiPlex 7480 All-in-One 1.7.0 Tak Nie 2021-06-23
OptiPlex 7490 All-In-One 1.3.0 Tak Tak 2021-06-24
OptiPlex 7780 All-In-One 1.7.0 Tak Nie 2021-06-23
Precision 17 M5750 1.8.2 Tak Nie 2021-06-09
Precision 3440 1.4.0 Tak Nie 2021-06-23
Precision 3450 1.1.35 Tak Tak 2021-06-24
Precision 3550 1.6.0 Tak Nie 2021-06-23
Precision 3551 1.6.0 Tak Nie 2021-06-23
Precision 3560 1.7.1 Tak Tak 2021-06-21
Precision 3561 1.3.0 A03 Tak Tak 2021-06-22
Precision 3640 1.6.2 Tak Nie 2021-06-23
Precision 3650 MT 1.2.0 Tak Tak 2021-06-24
Precision 5550 1.8.1 Tak Nie 2021-06-23
Precision 5560 1.3.2 Tak Tak 2021-06-23
Precision 5760 1.1.3 Tak Tak 2021-06-16
Precision 7550 1.8.0 Tak Nie 2021-06-23
Precision 7560 1.1.2 Tak Tak 2021-06-22
Precision 7750 1.8.0 Tak Nie 2021-06-23
Precision 7760 1.1.2 Tak Tak 2021-06-22
Vostro 14 5410 2.1.0 A06 Tak Tak 2021-06-24
Vostro 15 5510 2.1.0 A06 Tak Tak 2021-06-24
Vostro 15 7510 1.0.4 Tak Tak 2021-06-23
Vostro 3400 1.6.0 Tak Nie 2021-06-23
Vostro 3500 1.6.0 Tak Nie 2021-06-23
Vostro 3501 1.6.0 Tak Nie 2021-06-23
Vostro 3681 2.4.0 Tak Nie 2021-06-23
Vostro 3690 1.0.11 Tak Tak 2021-06-24
Vostro 3881 2.4.0 Tak Nie 2021-06-23
Vostro 3888 2.4.0 Tak Nie 2021-06-23
Vostro 3890 1.0.11 Tak Tak 2021-06-24
Vostro 5300 1.7.1 Tak Nie 2021-06-23
Vostro 5301 1.8.1 Tak Nie 2021-06-23
Vostro 5310 2.1.0 Tak Tak 2021-06-23
Vostro 5401 1.7.2 Tak Nie 2021-06-23
Vostro 5402 1.5.1 Tak Nie 2021-06-23
Vostro 5501 1.7.2 Tak Nie 2021-06-23
Vostro 5502 1.5.1 Tak Nie 2021-06-23
Vostro 5880 1.4.0 Tak Nie 2021-06-23
Vostro 5890 1.0.11 Tak Tak 2021-06-24
Vostro 7500 1.8.0 Tak Nie 2021-06-23
XPS 13 9305 1.0.8 Tak Nie 2021-06-23
XPS 13 9310 2 w 1 9310 2.3.3 Tak Nie 2021-06-23
XPS 13 9310 3.0.0 Tak Nie 2021-06-24
XPS 15 9500 1.8.1 Tak Nie 2021-06-23
XPS 15 9510 1.3.2 Tak Tak 2021-06-23
XPS 17 9700 1.8.2 Tak Nie 2021-06-09
XPS 17 9710 1.1.3 Tak Tak 2021-06-15

Soluzioni alternative e mitigazioni

Firma Dell zaleca klientom jak najszybsze aktualizowanie do najnowszej wersji klienckiego systemu BIOS firmy Dell. Klienci, którzy nie zastosują aktualizacji systemu BIOS natychmiast lub nie mogą tego zrobić w tej chwili, powinni zastosować następujące środki zaradcze.

BIOSConnect:

Klienci mogą wyłączyć funkcję BIOSConnect, korzystając z jednej z dwóch opcji:
Opcja 1: Klienci mogą wyłączyć funkcję BIOSConnect na stronie konfiguracji systemu BIOS (F2).
Uwaga: w zależności od modelu platformy, klient może znaleźć opcję BIOSConnect w różnych interfejsach menu konfiguracji systemu BIOS. Poniżej przedstawiono menu konfiguracji systemu BIOS typu A oraz menu konfiguracji systemu BIOS typu B.
Menu konfiguracji systemu BIOS typu A: F2 > Update, Recovery > BIOSConnect > przełącz na Off.
Menu konfiguracji systemu BIOS typu B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > usuń zaznaczenie opcji BIOSConnect.
 
Opcja 2: klienci mogą korzystać z narzędzia zdalnego zarządzania systemem Dell Command | Configure (DCC) w celu wyłączenia ustawień BIOSConnect systemu BIOS.
 
Uwaga: firma Dell zaleca, aby klienci nie uruchamiali narzędzia "BIOS Flash Update – Remote" za pomocą klawisza F12 przed aktualizacją systemu do skorygowanej wersji systemu BIOS.

HTTPS Boot:
Klienci mogą wyłączyć funkcję HTTPS Boot, korzystając z jednej z dwóch opcji:
Opcja 1: Klienci mogą wyłączyć funkcję BIOSConnect na stronie konfiguracji systemu BIOS (F2).
Menu konfiguracji systemu BIOS typu A: F2 > Connection > HTTP(s) Boot > przełącz na Off.
Menu konfiguracji systemu BIOS typu B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > usuń zaznaczenie opcji BIOSConnect.
Opcja 2: klienci mogą korzystać z narzędzia zdalnego zarządzania systemem Dell Command | Configure (DCC) w celu wyłączenia obsługi funkcji HTTP Boot.

Cronologia delle revisioni

WersjaDataOpis
1,02021-06-24Pierwsze wydanie

Ringraziamenti

Firma Dell pragnie podziękować Mickey’owi Shkatovowi i Jesse’emu Michaelowi z Eclypsium za zgłoszenie problemu.

Informazioni correlate

Prodotti interessati

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Prodotti

Product Security Information
Proprietà dell'articolo
Numero articolo: 000188682
Tipo di articolo: Dell Security Advisory
Ultima modifica: 15 set 2021
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.