メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能

DSA-2021-106:DellクライアントBIOSの一部としてのBIOSConnectおよびHTTPS Boot機能における複数の脆弱性に対するDellクライアント プラットフォーム セキュリティ アップデート

概要: Dellは、BIOSConnectおよびHTTPS Boot機能に影響を与える複数のセキュリティ脆弱性に対する修復をリリースしています。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

影響

High

詳細

専用コードCVE 説明 CVSS基本スコア CVSS Vector文字列
CVE-2021-21571 Dell BIOSConnect機能とDell HTTPS Boot機能によって活用されるDell UEFI BIOS HTTPSスタックには、不適切な証明書検証の脆弱性が含まれています。リモートの認証されていない攻撃者が中間者攻撃を使用してこの脆弱性を悪用し、サービス妨害やペイロードの改ざんにつながる可能性があります。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect機能には、バッファー オーバーフローの脆弱性が含まれています。システムへのローカル アクセス権を持つ認証済みの悪意のある管理者ユーザーは、この脆弱性を悪用して任意のコードを実行し、UEFI制限をバイパスする可能性があります。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnectおよびHTTPS Boot機能の説明:
  • Dell BIOSConnect機能は、Dellクライアント プラットフォームでSupportAssist OS Recoveryを使用して、システムBIOSをアップデートし、オペレーティング システム(OS)を回復するために使用されるDellの起動前ソリューションです。注:BIOSConnectでは、この機能を開始するために物理的に存在するユーザーが必要です。影響を受けるのは、BIOSConnect機能を備えたプラットフォームの一部のみです。影響を受けるプラットフォームについては、以下の「その他の情報」セクションの表を参照してください。
  • Dell HTTPS Boot機能は、HTTP(S)サーバーから起動するためのUEFI HTTPS Boot仕様の拡張機能です。注:この機能はデフォルトでは設定されていないため、ローカルOS管理者権限を持つ物理的に存在するユーザーが構成する必要があります。さらに、ワイヤレス ネットワークで使用する場合は、物理的に存在するユーザーが機能を開始する必要があります。HTTPS Boot機能はすべてのプラットフォームに含まれているわけではありません。影響を受けるプラットフォームのリストについては、以下の「その他の情報」セクションの表を参照してください。
上記の脆弱性は脆弱性チェーンとして報告されました。脆弱性チェーンの累積スコアは次のとおりです。8.3 高CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

チェーンを悪用するには、次の追加の手順が必要です。
  • BIOSConnectの脆弱性チェーンを悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局のいずれかで信頼されている証明書を取得し、システムに物理的に存在するユーザーがBIOSConnect機能を使用するのを待つなど、悪用を成功させる前に別の手順を実行する必要があります。
  • HTTPS Bootの脆弱性を悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局によって信頼されている証明書を取得し、システムに物理的に存在するユーザーが起動順序を変更してHTTPS Boot機能を使用するのを待つなど、悪用を成功させる前に追加の手順を個別に実行する必要があります。
お客様は、以下の修復を適用することに加えて、セキュアなネットワークのみを使用し、デバイスへのローカルおよび物理的な不正アクセスを防止することで、セキュリティのベスト プラクティスに従い、自分自身をさらに保護することができます。また、セキュア ブート(Windows搭載のDellプラットフォームではデフォルトで有効)やBIOS管理者パスワードなどのプラットフォーム セキュリティ機能を有効にして保護を強化する必要もあります。

メモ:セキュア ブートが無効になっている場合、CVE-2021-21571セキュリティ脆弱性に関連する潜在的な重大度に影響を与える可能性があります。
専用コードCVE 説明 CVSS基本スコア CVSS Vector文字列
CVE-2021-21571 Dell BIOSConnect機能とDell HTTPS Boot機能によって活用されるDell UEFI BIOS HTTPSスタックには、不適切な証明書検証の脆弱性が含まれています。リモートの認証されていない攻撃者が中間者攻撃を使用してこの脆弱性を悪用し、サービス妨害やペイロードの改ざんにつながる可能性があります。 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572、
CVE-2021-21573、
CVE-2021-21574
Dell BIOSConnect機能には、バッファー オーバーフローの脆弱性が含まれています。システムへのローカル アクセス権を持つ認証済みの悪意のある管理者ユーザーは、この脆弱性を悪用して任意のコードを実行し、UEFI制限をバイパスする可能性があります。 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnectおよびHTTPS Boot機能の説明:
  • Dell BIOSConnect機能は、Dellクライアント プラットフォームでSupportAssist OS Recoveryを使用して、システムBIOSをアップデートし、オペレーティング システム(OS)を回復するために使用されるDellの起動前ソリューションです。注:BIOSConnectでは、この機能を開始するために物理的に存在するユーザーが必要です。影響を受けるのは、BIOSConnect機能を備えたプラットフォームの一部のみです。影響を受けるプラットフォームについては、以下の「その他の情報」セクションの表を参照してください。
  • Dell HTTPS Boot機能は、HTTP(S)サーバーから起動するためのUEFI HTTPS Boot仕様の拡張機能です。注:この機能はデフォルトでは設定されていないため、ローカルOS管理者権限を持つ物理的に存在するユーザーが構成する必要があります。さらに、ワイヤレス ネットワークで使用する場合は、物理的に存在するユーザーが機能を開始する必要があります。HTTPS Boot機能はすべてのプラットフォームに含まれているわけではありません。影響を受けるプラットフォームのリストについては、以下の「その他の情報」セクションの表を参照してください。
上記の脆弱性は脆弱性チェーンとして報告されました。脆弱性チェーンの累積スコアは次のとおりです。8.3 高CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

チェーンを悪用するには、次の追加の手順が必要です。
  • BIOSConnectの脆弱性チェーンを悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局のいずれかで信頼されている証明書を取得し、システムに物理的に存在するユーザーがBIOSConnect機能を使用するのを待つなど、悪用を成功させる前に別の手順を実行する必要があります。
  • HTTPS Bootの脆弱性を悪用するには、悪意のある攻撃者は、ユーザーのネットワークを侵害し、Dell UEFI BIOS HTTPSスタックの組み込み認証局によって信頼されている証明書を取得し、システムに物理的に存在するユーザーが起動順序を変更してHTTPS Boot機能を使用するのを待つなど、悪用を成功させる前に追加の手順を個別に実行する必要があります。
お客様は、以下の修復を適用することに加えて、セキュアなネットワークのみを使用し、デバイスへのローカルおよび物理的な不正アクセスを防止することで、セキュリティのベスト プラクティスに従い、自分自身をさらに保護することができます。また、セキュア ブート(Windows搭載のDellプラットフォームではデフォルトで有効)やBIOS管理者パスワードなどのプラットフォーム セキュリティ機能を有効にして保護を強化する必要もあります。

メモ:セキュア ブートが無効になっている場合、CVE-2021-21571セキュリティ脆弱性に関連する潜在的な重大度に影響を与える可能性があります。
デル・テクノロジーズでは、すべてのお客様に対して、CVSSベース スコアに加えて、特定のセキュリティの脆弱性に付随する潜在的な重要度に影響する可能性のある現状スコアや環境スコアも考慮することをお勧めしています。

影響を受ける製品と修復

CVE-2021-21573およびCVE-2021-21574は、2021年5月28日にDellのバックエンド サーバー上のBIOSConnect関連コンポーネントで修正されました。追加のお客様のアクションは必要ありません。

CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。 BIOSアップデートをすぐに適用できない場合、Dellでは、BIOSConnectおよびHTTPS Boot機能を無効にする暫定的な緩和策も提供しています。以下のセクションを参照してください。
CVE-2021-21573およびCVE-2021-21574は、2021年5月28日にDellのバックエンド サーバー上のBIOSConnect関連コンポーネントで修正されました。追加のお客様のアクションは必要ありません。

CVE-2021-21571およびCVE-2021-21572では、脆弱性に対処するためにDellクライアントのBIOSアップデートが必要です。お使いのシステムに適用できる修正済みDellクライアントBIOSのバージョンを確認するには、「その他の情報」セクションにある表を参照してください。DellクライアントBIOSをアップデートするには、複数の方法があります。通常BIOSConnectを使用してBIOSをアップデートしている場合は、次のような別の方法でBIOSアップデートを適用することをお勧めします。 BIOSアップデートをすぐに適用できない場合、Dellでは、BIOSConnectおよびHTTPS Boot機能を無効にする暫定的な緩和策も提供しています。以下のセクションを参照してください。

影響を受ける製品とリリース日、および適用される最小BIOSバージョンのリストを次に示します。   
 

製品 BIOSアップデート バージョン
(以降)
BIOSConnectをサポート HTTP(S)Bootをサポート リリース日(MM/DD/YYYY)
予定リリース(月/YYYY)
Alienware m15 R6 1.3.3 はい はい 2021年6月21日
ChengMing 3990 1.4.1 はい No 2021年6月23日
ChengMing 3991 1.4.1 はい No 2021年6月23日
Dell G15 5510 1.4.0 はい はい 2021年6月21日
Dell G15 5511 1.3.3 はい はい 2021年6月21日
Dell G3 3500 1.9.0 はい No 2021年6月24日
Dell G5 5500 1.9.0 はい No 2021年6月24日
Dell G7 7500 1.9.0 はい No 2021年6月23日
Dell G7 7700 1.9.0 はい No 2021年6月23日
Inspiron 14 5418 2.1.0 A06 はい はい 2021年6月24日
Inspiron 15 5518 2.1.0 A06 はい はい 2021年6月24日
Inspiron 15 7510 1.0.4 はい はい 2021年6月23日
Inspiron 3501 1.6.0 はい No 2021年6月23日
Inspiron 3880 1.4.1 はい No 2021年6月23日
Inspiron 3881 1.4.1 はい No 2021年6月23日
Inspiron 3891 1.0.11 はい はい 2021年6月24日
Inspiron 5300 1.7.1 はい No 2021年6月23日
Inspiron 5301 1.8.1 はい No 2021年6月23日
Inspiron 5310 2.1.0 はい はい 2021年6月23日
Inspiron 5400 2-in-1 1.7.0 はい No 2021年6月23日
Inspiron 5400 AIO 1.4.0 はい No 2021年6月23日
Inspiron 5401 1.7.2 はい No 2021年6月23日
Inspiron 5401 AIO 1.4.0 はい No 2021年6月23日
Inspiron 5402 1.5.1 はい No 2021年6月23日
Inspiron 5406 2-in-1 1.5.1 はい No 2021年6月23日
Inspiron 5408 1.7.2 はい No 2021年6月23日
Inspiron 5409 1.5.1 はい No 2021年6月23日
Inspiron 5410 2-in-1 2.1.0 はい はい 2021年6月23日
Inspiron 5501 1.7.2 はい No 2021年6月23日
Inspiron 5502 1.5.1 はい No 2021年6月23日
Inspiron 5508 1.7.2 はい No 2021年6月23日
Inspiron 5509 1.5.1 はい No 2021年6月23日
Inspiron 7300 1.8.1 はい No 2021年6月23日
Inspiron 7300 2-in-1 1.3.0 はい No 2021年6月23日
Inspiron 7306 2-in-1 1.5.1 はい No 2021年6月23日
Inspiron 7400 1.8.1 はい No 2021年6月23日
Inspiron 7500 1.8.0 はい No 2021年6月23日
Inspiron 7500 2-in-1 - 黒 1.3.0 はい No 2021年6月23日
Inspiron 7500 2-in-1 - シルバー 1.3.0 はい No 2021年6月23日
Inspiron 7501 1.8.0 はい No 2021年6月23日
Inspiron 7506 2-in-1 1.5.1 はい No 2021年6月23日
Inspiron 7610 1.0.4 はい はい 2021年6月23日
Inspiron 7700 AIO 1.4.0 はい No 2021年6月23日
Inspiron 7706 2-in-1 1.5.1 はい No 2021年6月23日
Latitude 3120 1.1.0 はい No 2021年6月23日
Latitude 3320 1.4.0 はい はい 2021年6月23日
Latitude 3410 1.9.0 はい No 2021年6月23日
Latitude 3420 1.8.0 はい No 2021年6月23日
Latitude 3510 1.9.0 はい No 2021年6月23日
Latitude 3520 1.8.0 はい No 2021年6月23日
Latitude 5310 1.7.0 はい No 2021年6月24日
Latitude 5310 2-in-1 1.7.0 はい No 2021年6月24日
Latitude 5320 1.7.1 はい はい 2021年6月21日
Latitude 5320 2-in-1 1.7.1 はい はい 2021年6月21日
Latitude 5410 1.6.0 はい No 2021年6月23日
Latitude 5411 1.6.0 はい No 2021年6月23日
Latitude 5420 1.8.0 はい はい 2021年6月22日
Latitude 5510 1.6.0 はい No 2021年6月23日
Latitude 5511 1.6.0 はい No 2021年6月23日
Latitude 5520 1.7.1 はい はい 2021年6月21日
Latitude 5521 1.3.0 A03 はい はい 2021年6月22日
Latitude 7210 2-in-1 1.7.0 はい No 2021年6月23日
Latitude 7310 1.7.0 はい No 2021年6月23日
Latitude 7320 1.7.1 はい はい 2021年6月23日
Latitude 7320 Detachable 1.4.0 A04 はい はい 2021年6月22日
Latitude 7410 1.7.0 はい No 2021年6月23日
Latitude 7420 1.7.1 はい はい 2021年6月23日
Latitude 7520 1.7.1 はい はい 2021年6月23日
Latitude 9410 1.7.0 はい No 2021年6月23日
Latitude 9420 1.4.1 はい はい 2021年6月23日
Latitude 9510 1.6.0 はい No 2021年6月23日
Latitude 9520 1.5.2 はい はい 2021年6月23日
Latitude 5421 1.3.0 A03 はい はい 2021年6月22日
OptiPlex 3080 2.1.1 はい No 2021年6月23日
OptiPlex 3090 UFF 1.2.0 はい はい 2021年6月23日
OptiPlex 3280 All-in-One 1.7.0 はい No 2021年6月23日
OptiPlex 5080 1.4.0 はい No 2021年6月23日
OptiPlex 5090 Tower 1.1.35 はい はい 2021年6月23日
OptiPlex 5490 AIO 1.3.0 はい はい 2021年6月24日
OptiPlex 7080 1.4.0 はい No 2021年6月23日
OptiPlex 7090 Tower 1.1.35 はい はい 2021年6月23日
OptiPlex 7090 UFF 1.2.0 はい はい 2021年6月23日
OptiPlex 7480 All-in-One 1.7.0 はい No 2021年6月23日
OptiPlex 7490 All-in-One 1.3.0 はい はい 2021年6月24日
OptiPlex 7780 All-in-One 1.7.0 はい No 2021年6月23日
Precision 17 M5750 1.8.2 はい No 2021年6月09日
Precision 3440 1.4.0 はい No 2021年6月23日
Precision 3450 1.1.35 はい はい 2021年6月24日
Precision 3550 1.6.0 はい No 2021年6月23日
Precision 3551 1.6.0 はい No 2021年6月23日
Precision 3560 1.7.1 はい はい 2021年6月21日
Dell Precision 3561 1.3.0 A03 はい はい 2021年6月22日
Precision 3640 1.6.2 はい No 2021年6月23日
Dell Precision 3650 MT 1.2.0 はい はい 2021年6月24日
Precision 5550 1.8.1 はい No 2021年6月23日
Dell Precision 5560 1.3.2 はい はい 2021年6月23日
Precision 5760 1.1.3 はい はい 2021年6月16日
Precision 7550 1.8.0 はい No 2021年6月23日
Precision 7560 1.1.2 はい はい 2021年6月22日
Precision 7750 1.8.0 はい No 2021年6月23日
Precision 7760 1.1.2 はい はい 2021年6月22日
Vostro 14 5410 2.1.0 A06 はい はい 2021年6月24日
Vostro 15 5510 2.1.0 A06 はい はい 2021年6月24日
Vostro 15 7510 1.0.4 はい はい 2021年6月23日
Vostro 3400 1.6.0 はい No 2021年6月23日
Vostro 3500 1.6.0 はい No 2021年6月23日
Vostro 3501 1.6.0 はい No 2021年6月23日
Vostro 3681 2.4.0 はい No 2021年6月23日
Vostro 3690 1.0.11 はい はい 2021年6月24日
Vostro 3881 2.4.0 はい No 2021年6月23日
Vostro 3888 2.4.0 はい No 2021年6月23日
Vostro 3890 1.0.11 はい はい 2021年6月24日
Vostro 5300 1.7.1 はい No 2021年6月23日
Vostro 5301 1.8.1 はい No 2021年6月23日
Vostro 5310 2.1.0 はい はい 2021年6月23日
Vostro 5401 1.7.2 はい No 2021年6月23日
Vostro 5402 1.5.1 はい No 2021年6月23日
Vostro 5501 1.7.2 はい No 2021年6月23日
Vostro 5502 1.5.1 はい No 2021年6月23日
Vostro 5880 1.4.0 はい No 2021年6月23日
Vostro 5890 1.0.11 はい はい 2021年6月24日
Vostro 7500 1.8.0 はい No 2021年6月23日
XPS 13 9305 1.0.8 はい No 2021年6月23日
XPS 13 2-in-1 9310 2.3.3 はい No 2021年6月23日
XPS 13 9310 3.0.0 はい No 2021年6月24日
XPS 15 9500 1.8.1 はい No 2021年6月23日
XPS 15 9510 1.3.2 はい はい 2021年6月23日
XPS 17 9700 1.8.2 はい No 2021年6月09日
XPS 17 9710 1.1.3 はい はい 2021年6月15日

回避策と緩和策

Dellでは、できるだけ早く最新のDellクライアントBIOSバージョンにアップデートすることをすべてのお客様にお勧めします。BIOSアップデートをすぐに適用しないことを選択したお客様や今すぐ適用できないお客様は、以下の緩和策を適用する必要があります。

BIOSConnect:

お客様は、次の2つのオプションのいずれかを使用してBIOSConnect機能を無効にすることができます。
オプション1: お客様は、BIOSセットアップ ページ(F2)からBIOSConnectを無効にすることができます。
注:お客様のプラットフォーム モデルに応じて、異なるBIOSセットアップ メニュー インターフェイスの下にBIOSConnectオプションが表示される場合があります。以下に、BIOSセットアップ メニュー タイプAとBIOSセットアップ メニュー タイプBを示します。
BIOSセットアップ メニュー タイプA:F2>[Update]、[Recovery]>[BIOSConnect]>オフに切り替えます。
BIOSセットアップ メニュー タイプB:F2>[Settings]>[SupportAssist System Resolution]>[BIOSConnect]>[BIOSConnect]オプションのチェックを外します。
 
オプション2: BIOSConnect BIOS設定を無効にするには、お客様はDell Command | Configure(DCC)のリモート システム管理ツールを活用できます。
 
注:システムが修正されたバージョンのBIOSでアップデートされるまで、F12から[BIOS Flash Update - Remote]を実行しないことをお客様にお勧めします。

HTTPS Boot:
お客様は、次の2つのオプションのいずれかを使用してHTTPS Boot機能を無効にすることができます。
オプション1: お客様は、BIOSセットアップ ページ(F2)からBIOSConnectを無効にすることができます。
BIOSセットアップ メニュー タイプA:F2>[Connection]>[HTTP(s) Boot]>オフに切り替えます。
BIOSセットアップ メニュー タイプB:F2>[Settings]>[SupportAssist System Resolution]>[BIOSConnect]>[BIOSConnect]オプションのチェックを外します。
オプション2: HTTPS Bootサポートを無効にするには、お客様はDell Command | Configure(DCC)のリモート システム管理ツールを活用できます。

変更履歴

リビジョン日付説明
1.02021年6月24日イニシャルリリース

確認

Dellは、この問題を報告してくださったEclypsium社のMikey ShkatovさんとJesse Michaelさんにお礼申し上げます。

関連情報

対象製品

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

製品

Product Security Information
文書のプロパティ
文書番号: 000188682
文書の種類: Dell Security Advisory
最終更新: 15 9月 2021
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。