DSA ID: DSA-2019-028
CVE 식별자: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707
심각도: 높음
심각도 등급: 각 CVE에 대한 개별 CVSS 점수 아래의 상세 정보 섹션을 참조하십시오.
영향을 받는 제품:
- 2.92 이전의 Dell EMC iDRAC6 버전(CVE-2019-3705)
- 2.61.60.60 이전의 Dell EMC iDRAC7/iDRAC8 버전(CVE-2019-3705)
- 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 및 CVE-2019-3707) 이전 Dell EMC iDRAC9 버전
요약:
영향을 받는 시스템을 위험에 처하도록 악용할 가능성이 있는 여러 취약성을 해결하기 위해 Dell EMC iDRAC가 업데이트되었습니다.
상세 정보:
- 버퍼 오버플로 취약성(CVE-2019-3705)
2.92 이전의 Dell EMC iDRAC6 버전, 2.61.60.60 이전의 iDRAC7/iDRAC8 버전 및 3.20.21.20, 3.21.24.22, 3.21.26.22 및 3.23.23.23 이전의 iDRAC9 버전에는 스택 기반의 버퍼 오버플로 취약성이 있습니다. 인증되지 않은 원격 공격자가 이 취약성을 악용하여 웹 서버를 충돌시키거나 특별히 제작된 입력 데이터를 영향을 받는 시스템에 전송하여 웹 서버의 권한으로 시스템에서 임의의 코드를 실행할 수 있습니다.
CVSSv3 기본 점수 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
- 웹 인터페이스 인증 우회 취약성(CVE-2019-3706)
3.24.24.24, 3.21.26.22, 3.22.22.22 및 3.21.25.22 이전의 Dell EMC iDRAC9 버전에는 인증 우회 취약성이 있습니다. 원격 공격자가 이 취약성을 악용하여 iDRAC 웹 인터페이스에 특별히 제작된 데이터를 전송하여 인증을 우회하고 시스템에 대한 액세스를 얻을 수 있습니다.
CVSSv3 기본 점수 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
- WS-MAN 인증 우회 취약성(CVE-2019-3707)
3.30.30.30 이전의 Dell EMC iDRAC9 버전에는 인증 우회 취약성이 있습니다. 원격 공격자가 이 취약성을 악용하여 인증을 우회하고 특수하게 조작된 입력 데이터를 WS-MAN 인터페이스로 전송하여 시스템에 대한 액세스를 얻을 수 있습니다.
CVSSv3 기본 점수 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
해결 방법:
다음 Dell EMC iDRAC 펌웨어 릴리스에 이 취약성에 대한 해결 방법이 포함되어 있습니다.
integrated Dell Remote Access Controller |
iDRAC 펌웨어 버전 |
iDRAC9 |
3.20.21.20 |
3.21.24.22 |
3.21.26.22 |
3.23.23.23 |
|
3.24.24.24 |
|
3.22.22.22 |
|
3.21.25.22 |
|
3.30.30.30 |
iDRAC8 |
2.61.60.60 |
iDRAC7 |
2.61.60.60 |
iDRAC6 |
2.92 |
Dell EMC는 모든 고객이 최대한 빨리 업그레이드하는 것을 권장합니다.
iDRAC에 대한 Dell 모범 사례:
Dell은 iDRAC 펌웨어를 최신으로 유지하는 것 외에도 다음과 같은 사항을 권장합니다.
- iDRAC는 별도의 관리 네트워크에 배치하거나 인터넷에 배치 또는 연결하도록 설계 또는 의도되지 않았습니다. iDRAC를 직접 인터넷에 직접 노출시키거나 연결하면 연결된 시스템이 Dell에서 책임을 지지 않는 보안 및 기타 위험에 노출될 수 있습니다.
- 별도의 관리 서브넷에 iDRAC를 배치하는 것과 함께, 사용자는 방화벽과 같은 기술을 사용하여 관리 서브넷/vLAN을 격리하고 서브넷/vLAN에 대한 액세스를 자격이 있는 서버 관리자로 제한해야 합니다.
- Dell에서는 고객이 사용 중인 환경과 관련된 모든 배포 요인을 고려하여 전반적인 위험을 평가하는 것을 권장합니다.
문제 해결 링크:
고객은
PowerEdge 서버용 iDRAC 펌웨어를 다운로드할 수 있습니다. 기타 모든 플랫폼의 경우
Dell 지원 사이트에서 해당 플랫폼을 선택합니다.
Dell은 모든 사용자가 이 정보를 개별 상황에 적용 가능한지 여부를 판단하여 적절히 조치하기를 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell은 상품성, 특정 목적에의 적합성, 권한, 비침해성을 비롯하여 명시적이거나 묵시적인 어떠한 보증도 부인합니다. 어떠한 경우에도 Dell 또는 관련 제공업체는 직접적, 간접적, 우연적, 결과적, 업무 손실, 특정 손상을 비롯하여 어떠한 피해에 대해서도 책임을 지지 않습니다. 이는 Dell 또는 관련 제공업체가 그런 피해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.