Preskočiť na hlavný obsah
  • Zadávajte objednávky rýchlo a jednoducho
  • Pozrite si svoje objednávky a sledujte priebeh doručenia
  • Vytvorte si zoznam svojich produktov a majte ho vždy poruke

DSA-2019-028: kilka luk kontrolera iDRAC Dell EMC

Zhrnutie: Kontroler iDRAC Dell EMC został zaktualizowany w celu wyeliminowania wielu luk, które mogą być potencjalnie wykorzystane do zaatakowania systemów, których dotyczy problem.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.

Symptómy

Identyfikator DSA: DSA-2019-028

Identyfikator CVE: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Istotność: poważna

Wskaźnik ważności: patrz sekcja Szczegóły poniżej dla poszczególnych wyników CVSS dla każdego CVE
                         
Produkty, których dotyczy problem:
 
  • Wersje kontrolera iDRAC6 Dell EMC wcześniejsze niż 2.92 (CVE-2019-3705)
  • Wersje kontrolera iDRAC7/iDRAC8 Dell EMC wcześniejsze niż 2.61.60.60 (CVE-2019-3705)
  • Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 i CVE-2019-3707)

Streszczenie:  
Kontroler iDRAC Dell EMC został zaktualizowany w celu wyeliminowania wielu luk, które mogą być potencjalnie wykorzystane do zaatakowania systemów, których dotyczy problem.

Szczegóły:  
  • Luka w zabezpieczeniach spowodowana przepełnieniem bufora (CVE-2019-3705)
     
Wersje kontrolera iDRAC6 Dell EMC wcześniejsze niż 2.92, wersje kontrolera iDRAC7/iDRAC8 wcześniejsze niż 2.61.60.60 oraz wersje kontrolera iDRAC9 wcześniejsze niż 3.20.21.20, 3.21.24.22, 3.21.26.22 i 3.23.23.23 zawierają lukę w zabezpieczeniach spowodowaną przepełnieniem bufora stosu. Nieuwierzytelniona zdalna osoba atakująca może potencjalnie wykorzystać tę lukę w celu wywołania awarii serwera sieci Web lub wykonania dowolnego kodu w systemie z uprawnieniami serwera sieci Web, wysyłając specjalnie spreparowane dane wejściowe do zagrożonego systemu.

CVSSv3, ocena bazowa 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Luka w zabezpieczeniach związana z pominięciem uwierzytelniania interfejsu sieciowego (CVE-2019-3706)
 
Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.24.24.24, 3.21.26.22, 3.22.22.22 i 3.21.25.22 zawierają lukę w zabezpieczeniach dotyczącą pomijania uwierzytelniania. Zdalna osoba atakująca może wykorzystać tę lukę, aby ominąć uwierzytelnianie i uzyskać dostęp do systemu, wysyłając specjalnie spreparowane dane do interfejsu sieciowego kontrolera iDRAC.

CVSSv3, ocena bazowa 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • Luka w zabezpieczeniach związana z pominięciem uwierzytelniania WS-MAN (CVE-2019-3707)
 
Wersje kontrolera iDRAC9 Dell EMC wcześniejsze niż 3.30.30.30 zawierają lukę w zabezpieczeniach dotyczącą pomijania uwierzytelniania. Zdalna osoba atakująca może wykorzystać tę lukę, aby ominąć uwierzytelnianie i uzyskać dostęp do systemu, wysyłając specjalnie spreparowane dane wejściowe do interfejsu sieciowego WS-MAN.
 
CVSSv3, ocena bazowa 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Rozwiązanie:      
Poniższe wersje oprogramowania układowego kontrolera iDRAC Dell EMC zawierają rozwiązania tych luk:
 

iDRAC

Wersja oprogramowania wewnętrznego kontrolera iDRAC

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92



Firma Dell EMC zaleca wszystkim klientom jak najszybszą aktualizację.  

Najlepsze praktyki Dell Best związane z kontrolerem iDRAC:

Poza korzystaniem z aktualnego oprogramowania wewnętrznego kontrolera iDRAC firma Dell zaleca również:
  • Kontrolery iDRAC nie zostały zaprojektowane ani nie są przeznaczone do działania w Internecie ani nawiązywania z nim połączenia; zostały stworzone z myślą o pracy w oddzielnej sieci zarządzania.  Podłączenie kontrolerów iDRAC bezpośrednio do Internetu może narazić podłączony system na zagrożenia związane z bezpieczeństwem i inne zagrożenia, za które firma Dell nie ponosi odpowiedzialności.   
  • Wraz z umieszczeniem kontrolerów iDRAC w oddzielnej podsieci zarządzania użytkownicy powinni odizolować podsieć zarządzania/vLAN za pomocą technologii takich jak zapory sieciowe oraz ograniczyć dostęp do podsieci/vLAN do uprawnionych administratorów serwerów.
  • Firma Dell zaleca, aby przy ocenie ryzyka klienci uwzględnili wszelkie czynniki związane z wdrożeniem w określonym środowisku.

Łącze do rozwiązań:

Klienci mogą pobrać oprogramowanie wewnętrzne kontrolera iDRAC dla serwerów PowerEdge. W przypadku wszystkich innych platform należy wybrać platformę z witryny pomocy technicznej Dell.


Firma Dell zaleca, aby wszyscy użytkownicy ocenili adekwatność tych informacji w kontekście własnej sytuacji i podjęli odpowiednie działania. Informacje podane w tym dokumencie są dostarczane w dosłownej formie i bez jakiejkolwiek gwarancji. Firma Dell nie udziela żadnych gwarancji, wyraźnych lub dorozumianych, w tym gwarancji przydatności handlowej, przydatności do określonego celu, własności i nienaruszalności praw autorskich. W żadnym przypadku firma Dell ani jej dostawcy nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe lub następcze, utratę zysków lub szkody specjalne, nawet jeśli firmę Dell lub jej dostawców powiadomiono o możliwości wystąpienia takich szkód. W niektórych jurysdykcjach prawo nie zezwala na wyłączenie lub ograniczenie odpowiedzialności za szkody następcze lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Dotknuté produkty

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60
Vlastnosti článku
Číslo článku: 000176947
Typ článku: Solution
Dátum poslednej úpravy: 11 dec 2024
Verzia:  4
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.