メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能

DSA-2021-106: обновление системы безопасности клиентской платформы Dell для нескольких уязвимостей функций BIOSConnect и HTTPS Boot в составе клиентской BIOS Dell

概要: Dell выпускает исправления для нескольких уязвимостей системы безопасности, затрагивающих функции BIOSConnect и HTTPS Boot.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

影響

High

詳細

Проприетарный код CVE Описание CVSS Базовая оценка CVSS Векторная строка
CVE-2021-21571 Стек Dell UEFI BIOS https, который используется функциями Dell BIOSConnect и Dell HTTPS Boot, содержит уязвимость проверки ненадлежащих сертификатов. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, используя атаку посредника, которая может привести к отказу в обслуживании и несанкционированному вмешательству в полезную нагрузку. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Функция Dell BIOSConnect содержит уязвимость переполнения буфера. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы выполнить произвольный код и обойти ограничения UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Описание функций Dell BIOSConnect и HTTPS Boot:
  • Функция Dell BIOSConnect — это предзагрузочное решение Dell, которое используется для обновления BIOS системы и восстановления операционной системы (ОС) с помощью SupportAssist OS Recovery на клиентских платформах Dell. Примечание. Для запуска этой функции BIOSConnect требуется физическое присутствие пользователя. Это затрагивает только подмножество платформ с функцией BIOSConnect. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.
  • Функция Dell HTTPS Boot является расширением спецификаций UEFI HTTP Boot для загрузки с сервера HTTP(S). Примечание. Эта функция не настроена по умолчанию и требует физического присутствия пользователя с правами локального администратора ОС для настройки. Кроме того, физически присутствующий пользователь должен инициировать эту функцию при работе с беспроводными сетями. Не все платформы поддерживают функцию HTTPS Boot. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.
Указанные выше уязвимости были отмечены как цепочка уязвимостей. Совокупная оценка цепочки уязвимостей: 8.3 Высокая CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Использование цепочки требует дополнительных действий:
  • Перед успешным использованием цепочки уязвимостей в BIOSConnect, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для использования функции BIOSConnect.
  • Перед успешным использованием цепочки уязвимостей в HTTPS Boot, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для изменения порядка загрузки и использования функции HTTPS Boot.
В дополнение к исправлениям ниже, заказчики могут защитить себя, следуя передовым практикам безопасности, используя только защищенные сети и предотвращая несанкционированный локальный и физический доступ к устройствам. Для дополнительной защиты заказчикам также следует включить функции безопасности платформы, такие как безопасная загрузка (включена по умолчанию для платформ Dell с Windows) и пароль администратора BIOS.

Примечание. Если функция безопасной загрузки отключена, она может повлиять на потенциальную степень серьезности, связанную с уязвимостью безопасности CVE-2021-21571.
Проприетарный код CVE Описание CVSS Базовая оценка CVSS Векторная строка
CVE-2021-21571 Стек Dell UEFI BIOS https, который используется функциями Dell BIOSConnect и Dell HTTPS Boot, содержит уязвимость проверки ненадлежащих сертификатов. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, используя атаку посредника, которая может привести к отказу в обслуживании и несанкционированному вмешательству в полезную нагрузку. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Функция Dell BIOSConnect содержит уязвимость переполнения буфера. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы выполнить произвольный код и обойти ограничения UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Описание функций Dell BIOSConnect и HTTPS Boot:
  • Функция Dell BIOSConnect — это предзагрузочное решение Dell, которое используется для обновления BIOS системы и восстановления операционной системы (ОС) с помощью SupportAssist OS Recovery на клиентских платформах Dell. Примечание. Для запуска этой функции BIOSConnect требуется физическое присутствие пользователя. Это затрагивает только подмножество платформ с функцией BIOSConnect. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.
  • Функция Dell HTTPS Boot является расширением спецификаций UEFI HTTP Boot для загрузки с сервера HTTP(S). Примечание. Эта функция не настроена по умолчанию и требует физического присутствия пользователя с правами локального администратора ОС для настройки. Кроме того, физически присутствующий пользователь должен инициировать эту функцию при работе с беспроводными сетями. Не все платформы поддерживают функцию HTTPS Boot. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.
Указанные выше уязвимости были отмечены как цепочка уязвимостей. Совокупная оценка цепочки уязвимостей: 8.3 Высокая CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Использование цепочки требует дополнительных действий:
  • Перед успешным использованием цепочки уязвимостей в BIOSConnect, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для использования функции BIOSConnect.
  • Перед успешным использованием цепочки уязвимостей в HTTPS Boot, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для изменения порядка загрузки и использования функции HTTPS Boot.
В дополнение к исправлениям ниже, заказчики могут защитить себя, следуя передовым практикам безопасности, используя только защищенные сети и предотвращая несанкционированный локальный и физический доступ к устройствам. Для дополнительной защиты заказчикам также следует включить функции безопасности платформы, такие как безопасная загрузка (включена по умолчанию для платформ Dell с Windows) и пароль администратора BIOS.

Примечание. Если функция безопасной загрузки отключена, она может повлиять на потенциальную степень серьезности, связанную с уязвимостью безопасности CVE-2021-21571.
デル・テクノロジーズでは、すべてのお客様に対して、CVSSベース スコアに加えて、特定のセキュリティの脆弱性に付随する潜在的な重要度に影響する可能性のある現状スコアや環境スコアも考慮することをお勧めしています。

影響を受ける製品と修復

CVE-2021-21573 и CVE-2021-21574 были устранены на стороне компонентов, относящихся к BIOSConnect, внутреннего сервера Dell 28 мая 2021 года, и не требуют дополнительных действий со стороны заказчика.

Для устранения уязвимостей CVE-2021-21571 и CVE-2021-21572 требуются обновления BIOS клиента Dell. См. таблицу в разделе «Дополнительная информация», чтобы определить версию исправленной BIOS клиента Dell, которая будет применяться к вашей системе. Существует несколько способов обновления BIOS клиента Dell. Если для обновления BIOS обычно используется BIOSConnect, Dell рекомендует использовать другой метод, чтобы применить обновления BIOS, например: Для тех пользователей, которые не могут сразу применить обновления BIOS, Dell также предоставила временное решение для отключения функций BIOSConnect и HTTPS Boot. См. раздел ниже.
CVE-2021-21573 и CVE-2021-21574 были устранены на стороне компонентов, относящихся к BIOSConnect, внутреннего сервера Dell 28 мая 2021 года, и не требуют дополнительных действий со стороны заказчика.

Для устранения уязвимостей CVE-2021-21571 и CVE-2021-21572 требуются обновления BIOS клиента Dell. См. таблицу в разделе «Дополнительная информация», чтобы определить версию исправленной BIOS клиента Dell, которая будет применяться к вашей системе. Существует несколько способов обновления BIOS клиента Dell. Если для обновления BIOS обычно используется BIOSConnect, Dell рекомендует использовать другой метод, чтобы применить обновления BIOS, например: Для тех пользователей, которые не могут сразу применить обновления BIOS, Dell также предоставила временное решение для отключения функций BIOSConnect и HTTPS Boot. См. раздел ниже.

Ниже приведен список затронутых продуктов, даты выпуска и минимальные версии BIOS, которые необходимо применить:   
 

Продукт Версия обновления BIOS
(или более поздняя)
Поддержка BIOSConnect Поддержка HTTP(s) Boot Дата выпуска (ММ/ДД/ГГГГ)
Ожидаемая дата выпуска (месяц/ГГГГ)
Alienware m15 R6 1.3.3 Да Да 21.06.2021
ChengMing 3990 1.4.1 Да нет 23.06.2021
ChengMing 3991 1.4.1 Да нет 23.06.2021
Dell G15 5510 1.4.0 Да Да 21.06.2021
Dell G15 5511 1.3.3 Да Да 21.06.2021
Dell G3 3500 1.9.0 Да нет 24.06.2021
Dell G5 5500 1.9.0 Да нет 24.06.2021
Dell G7 7500 1.9.0 Да нет 23.06.2021
Dell G7 7700 1.9.0 Да нет 23.06.2021
Inspiron 14 5418 2.1.0 A06 Да Да 24.06.2021
Inspiron 15 5518 2.1.0 A06 Да Да 24.06.2021
Inspiron 15 7510 1.0.4 Да Да 23.06.2021
Inspiron 3501 1.6.0 Да нет 23.06.2021
Inspiron 3880 1.4.1 Да нет 23.06.2021
Inspiron 3881 1.4.1 Да нет 23.06.2021
Inspiron 3891 1.0.11 Да Да 24.06.2021
Inspiron 5300 1.7.1 Да нет 23.06.2021
Inspiron 5301 1.8.1 Да нет 23.06.2021
Inspiron 5310 2.1.0 Да Да 23.06.2021
Inspiron 5400 2-n-1 1.7.0 Да нет 23.06.2021
Inspiron 5400 AIO 1.4.0 Да нет 23.06.2021
Inspiron 5401 1.7.2 Да нет 23.06.2021
Inspiron 5401 AIO 1.4.0 Да нет 23.06.2021
Inspiron 5402 1.5.1 Да нет 23.06.2021
Inspiron 5406 2-n-1 1.5.1 Да нет 23.06.2021
Inspiron 5408 1.7.2 Да нет 23.06.2021
Inspiron 5409 1.5.1 Да нет 23.06.2021
Inspiron 5410 2-in-1 2.1.0 Да Да 23.06.2021
Inspiron 5501 1.7.2 Да нет 23.06.2021
Inspiron 5502 1.5.1 Да нет 23.06.2021
Inspiron 5508 1.7.2 Да нет 23.06.2021
Inspiron 5509 1.5.1 Да нет 23.06.2021
Inspiron 7300 1.8.1 Да нет 23.06.2021
Inspiron 7300 2-n-1 1.3.0 Да нет 23.06.2021
Inspiron 7306 2-n-1 1.5.1 Да нет 23.06.2021
Inspiron 7400 1.8.1 Да нет 23.06.2021
Inspiron 7500 1.8.0 Да нет 23.06.2021
Inspiron 7500 2-in-1 — Black 1.3.0 Да нет 23.06.2021
Inspiron 7500 2-in-1 — Silver 1.3.0 Да нет 23.06.2021
Inspiron 7501 1.8.0 Да нет 23.06.2021
Inspiron 7506 2-n-1 1.5.1 Да нет 23.06.2021
Inspiron 7610 1.0.4 Да Да 23.06.2021
Inspiron 7700 AIO 1.4.0 Да нет 23.06.2021
Inspiron 7706 2-n-1 1.5.1 Да нет 23.06.2021
Latitude 3120 1.1.0 Да нет 23.06.2021
Latitude 3320 1.4.0 Да Да 23.06.2021
Latitude 3410 1.9.0 Да нет 23.06.2021
Latitude 3420 1.8.0 Да нет 23.06.2021
Latitude 3510 1.9.0 Да нет 23.06.2021
Latitude 3520 1.8.0 Да нет 23.06.2021
Latitude 5310 1.7.0 Да нет 24.06.2021
Latitude 5310 2-in-1 1.7.0 Да нет 24.06.2021
Latitude 5320 1.7.1 Да Да 21.06.2021
Latitude 5320 2-in-1 1.7.1 Да Да 21.06.2021
Latitude 5410 1.6.0 Да нет 23.06.2021
Latitude 5411 1.6.0 Да нет 23.06.2021
Latitude 5420 1.8.0 Да Да 22.06.2021
Latitude 5510 1.6.0 Да нет 23.06.2021
Latitude 5511 1.6.0 Да нет 23.06.2021
Latitude 5520 1.7.1 Да Да 21.06.2021
Latitude 5521 1.3.0 A03 Да Да 22.06.2021
Latitude 7210 2-in-1 1.7.0 Да нет 23.06.2021
Latitude 7310 1.7.0 Да нет 23.06.2021
Latitude 7320 1.7.1 Да Да 23.06.2021
Latitude 7320 трансформер 1.4.0 A04 Да Да 22.06.2021
Latitude 7410 1.7.0 Да нет 23.06.2021
Latitude 7420 1.7.1 Да Да 23.06.2021
Latitude 7520 1.7.1 Да Да 23.06.2021
Latitude 9410 1.7.0 Да нет 23.06.2021
Latitude 9420 1.4.1 Да Да 23.06.2021
Latitude 9510 1.6.0 Да нет 23.06.2021
Latitude 9520 1.5.2 Да Да 23.06.2021
Latitude 5421 1.3.0 A03 Да Да 22.06.2021
OptiPlex 3080 2.1.1 Да нет 23.06.2021
OptiPlex 3090 UFF 1.2,0.0 Да Да 23.06.2021
OptiPlex 3280 All-in-One 1.7.0 Да нет 23.06.2021
OptiPlex 5080 1.4.0 Да нет 23.06.2021
OptiPlex 5090 в корпусе Tower 1.1.35 Да Да 23.06.2021
OptiPlex 5490 AIO 1.3.0 Да Да 24.06.2021
OptiPlex 7080 1.4.0 Да нет 23.06.2021
OptiPlex 7090 в корпусе Tower 1.1.35 Да Да 23.06.2021
OptiPlex 7090 UFF 1.2,0.0 Да Да 23.06.2021
OptiPlex 7480 All In One 1.7.0 Да нет 23.06.2021
OptiPlex 7490 All In One 1.3.0 Да Да 24.06.2021
OptiPlex 7780 All In One 1.7.0 Да нет 23.06.2021
Precision 17 M5750 1.8.2 Да нет 09.06.2021
Precision 3440 1.4.0 Да нет 23.06.2021
Precision 3450 1.1.35 Да Да 24.06.2021
Precision 3550 1.6.0 Да нет 23.06.2021
Precision 3551 1.6.0 Да нет 23.06.2021
Precision 3560 1.7.1 Да Да 21.06.2021
Precision 3561 1.3.0 A03 Да Да 22.06.2021
Precision 3640 1.6.2 Да нет 23.06.2021
Precision 3650 MT 1.2,0.0 Да Да 24.06.2021
Precision 5550 1.8.1 Да нет 23.06.2021
Precision 5560 1.3.2 Да Да 23.06.2021
Precision 5760 1.1.3 Да Да 16.06.2021
Precision 7550 1.8.0 Да нет 23.06.2021
Precision 7560 1.1.2 Да Да 22.06.2021
Precision 7750 1.8.0 Да нет 23.06.2021
Precision 7760 1.1.2 Да Да 22.06.2021
Vostro 14 5410 2.1.0 A06 Да Да 24.06.2021
Vostro 15 5510 2.1.0 A06 Да Да 24.06.2021
Vostro 15 7510 1.0.4 Да Да 23.06.2021
Vostro 3400 1.6.0 Да нет 23.06.2021
Vostro 3500 1.6.0 Да нет 23.06.2021
Vostro 3501 1.6.0 Да нет 23.06.2021
Vostro 3681 2.4.0 Да нет 23.06.2021
Vostro 3690 1.0.11 Да Да 24.06.2021
Vostro 3881 2.4.0 Да нет 23.06.2021
Vostro 3888 2.4.0 Да нет 23.06.2021
Vostro 3890 1.0.11 Да Да 24.06.2021
Vostro 5300 1.7.1 Да нет 23.06.2021
Vostro 5301 1.8.1 Да нет 23.06.2021
Vostro 5310 2.1.0 Да Да 23.06.2021
Vostro 5401 1.7.2 Да нет 23.06.2021
Vostro 5402 1.5.1 Да нет 23.06.2021
Vostro 5501 1.7.2 Да нет 23.06.2021
Vostro 5502 1.5.1 Да нет 23.06.2021
Vostro 5880 1.4.0 Да нет 23.06.2021
Vostro 5890 1.0.11 Да Да 24.06.2021
Vostro 7500 1.8.0 Да нет 23.06.2021
XPS 13 9305 1.0.8 Да нет 23.06.2021
XPS 13 2-in-1 9310 2.3.3 Да нет 23.06.2021
XPS 13 9310 3.0.0 Да нет 24.06.2021
XPS 15 9500 1.8.1 Да нет 23.06.2021
XPS 15 9510 1.3.2 Да Да 23.06.2021
XPS 17 9700 1.8.2 Да нет 09.06.2021
XPS 17 9710 1.1.3 Да Да 15.06.2021

回避策と緩和策

Dell рекомендует всем заказчикам при первой же возможности выполнить обновление до последней версии клиентской BIOS Dell. Пользователи, которые решили не применять обновления BIOS сразу или не могут сделать это сейчас, должны принять указанные ниже меры по снижению риска.

BIOSConnect.

Заказчики могут отключить функцию BIOSConnect, используя один из двух вариантов.
Вариант 1. Заказчики могут отключить BIOSConnect на странице настройки BIOS (F2).
Примечание. В зависимости от модели платформы заказчики могут найти параметр BIOSConnect в разных интерфейсах меню настройки BIOS. Они представлены ниже как меню настройки BIOS типа A и меню настройки BIOS типа Б.
Меню настройки BIOS, тип A: F2 > Update, Recovery > BIOSConnect > переключите в значение «Off».
Меню настройки BIOS, тип Б: F2 > Settings > SupportAssist System Resolution > BIOSConnect > снимите флажок «BIOSConnect».
 
Вариант 2. Заказчики могут использовать инструмент удаленного управления системой Dell Command | Configure (DCC) для отключения настроек BIOS BIOSConnect.
 
Примечание. Dell рекомендует заказчикам не запускать «BIOS Flash Update - Remote» из меню, появляющемся при нажатии клавиши F12 до тех пор, пока в системе не будет установлена исправленная версия BIOS.

HTTPS Boot.
Пользователи могут отключить функцию HTTPS Boot с помощью одного из двух вариантов.
Вариант 1. Заказчики могут отключить BIOSConnect на странице настройки BIOS (F2).
Меню настройки BIOS, тип A: F2 > Connection > HTTP(s) Boot > переключите в значение «Off».
Меню настройки BIOS, тип Б: F2 > Settings > SupportAssist System Resolution > BIOSConnect > снимите флажок «BIOSConnect».
Вариант 2. Заказчики могут использовать инструмент удаленного управления системой Dell Command | Configure (DCC) для отключения поддержки HTTP Boot.

変更履歴

РедакцияДатаОписание
1.024.06.2021Первоначальный выпуск

確認

Dell благодарит Микки Шкатов (Mickey Shkatov) и Джесси Майкла (Jesse Michael) из Eclypsium за сообщение об этой проблеме.

関連情報

対象製品

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

製品

Product Security Information
文書のプロパティ
文書番号: 000188682
文書の種類: Dell Security Advisory
最終更新: 15 9月 2021
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。