Preskočiť na hlavný obsah
Odhlásiť sa

Vitajte v spoločnosti Dell!

Moje konto
  • Zadávajte objednávky rýchlo a jednoducho
  • Pozrite si svoje objednávky a sledujte priebeh doručenia
  • Vytvorte si zoznam svojich produktov a majte ho vždy poruke
Prihlásiť sa Vytvoriť konto Prihlásenie na stránky Premier Prihlásenie do partnerského programu
Kontaktujte nás

DSA-2019-028: Dell EMC iDRAC -ohjelman useat haavoittuvuudet

Zhrnutie: Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

DSA-tunniste: DSA-2019-028

CVE-tunniste: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Vakavuusaste: suuri

Vakavuusluokitus: katso kunkin CVE:n yksittäiset CVSS-pisteet Tiedot-kohdasta
                         
Tuotteet, joita asia koskee:
 
  • Dell EMC iDRAC6 -versiot, jotka ovat vanhempia kuin versio 2.92 (CVE-2019-3705)
  • Dell EMC iDRAC7/iDRAC8 -versiot, jotka ovat vanhempia kuin versio 2.61.60.60 (CVE-2019-3705)
  • Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 (CVE-2019-3705, CVE-2019-3706 ja CVE-2019-3707)

Yhteenveto:  
Dell EMC iDRAC on päivitetty ja siitä on korjattu useita haavoittuvuuksia, joita hyödyntämällä voidaan mahdollisesti vaarantaa järjestelmiä, joita ongelma koskee.

Tiedot:  
  • Puskurin ylivuotohaavoittuvuus (CVE-2019-3705)
     
Dell EMC iDRAC6 -versiot, jotka ovat vanhempia kuin versio 2.92, iDRAC7/iDRAC8 -versiot, jotka ovat vanhempia kuin versio 2.61.60.60, ja iDRAC9-versiot, jotka ovat vanhempia kuin versio 3.20.21.20, 3.21.24.22, 3.21.26.22 ja 3.23.23.23, sisältävät pinoperustaisen puskurin ylivuotohaavoittuvuuden. Todentamaton etähyökkääjä voi mahdollisesti hyödyntää tätä haavoittuvuutta ja kaataa verkkopalvelimen tai suorittaa satunnaista koodia järjestelmässä verkkopalvelimen oikeuksilla lähettämällä tietyllä tavalla muodostettuja syöttötietoja haavoittuvuuden sisältävään järjestelmään.

CVSSv3-peruspisteet 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Verkkokäyttöliittymän todennuksen ohitushaavoittuvuus (CVE-2019-3706)
 
Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.24.24.24, 3.21.26.22, 3.22.22.22 ja 3.21.25.22, sisältävät todennuksen ohitushaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja tietoja iDRAC-verkkokäyttöliittymään.

CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • WS-MAN-todennuksen ohitushaavoittuvuus (CVE-2019-3707)
 
Dell EMC iDRAC9 -versiot, jotka ovat vanhempia kuin versio 3.30.30.30, sisältävät todennuksen ohitushaavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta etähyökkääjä voi mahdollisesti ohittaa todennuksen ja päästä järjestelmään lähettämällä tietyllä tavalla muodostettuja syöttötietoja WS-MAN-käyttöliittymään.
 
CVSSv3-peruspisteet 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Ratkaisu:      
Seuraavat Dell EMC iDRAC -laiteohjelmistojulkaisut sisältävät korjauksen näihin haavoittuvuuksiin:
 

iDRAC

iDRAC-laiteohjelmistoversio

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC suosittelee, että kaikki asiakkaat päivittävät mahdollisimman pian.  

Dellin parhaat iDRAC-käytännöt:

Dell suosittelee iDRAC-laiteohjelmiston pitämistä ajan tasalla ja lisäksi seuraavia:
  • iDRAC-ohjauskoneita ei ole tarkoitettu sijoitettaviksi Internetiin tai olemaan yhteydessä Internetiin. Ne on tarkoitus sijoittaa erilliseen hallintaverkkoon.  iDRAC-ohjauskoneiden sijoittaminen tai yhdistäminen suoraan Internetiin voi altistaa yhdistetyn järjestelmän suojausriskeille ja muille riskeille, joista Dell ei ole vastuussa.   
  • Käyttäjien on sijoitettava iDRAC-ohjauskoneet erilliseen hallinta-aliverkkoon ja lisäksi eristettävä hallinta-aliverkko/vLAN esimerkiksi palomuurin kaltaisilla tekniikoilla ja rajoitettava aliverkon/vLAN-verkon käyttöoikeus valtuutetuille palvelinten järjestelmänvalvojille.
  • Dell suosittelee, että asiakkaat huomioivat riskiä arvioidessaan mahdolliset ympäristöä koskevat käyttöönottotekijät.

Linkki korjauksiin:

Asiakkaat voivat ladata iDRAC-laiteohjelmiston PowerEdge-palvelimille. Valitse muissa ympäristöissä ympäristö Dellin tukisivustossa.


Dell suosittelee, että kaikki käyttäjät selvittävät näiden tietojen soveltuvuuden omaan tilanteeseensa ja ryhtyvät asianmukaisiin toimiin. Nämä tiedot toimitetaan "sellaisinaan" ilman minkäänlaisia takuita. Dell sanoutuu irti kaikista nimenomaisista tai oletetuista takuista, mukaan lukien takuut myyntikelpoisuudesta, soveltuvuudesta tiettyyn tarkoitukseen, omistusoikeudesta ja oikeuksien loukkaamattomuudesta. Dell tai sen toimittajat eivät ole missään tapauksessa vastuussa mistään suorista, epäsuorista, satunnaisista, välillisistä tai erityisistä vahingoista tai menetetyistä voitoista, vaikka Dellille tai sen toimittajille olisi ilmoitettu mainittujen vahinkojen mahdollisuudesta. Joillakin lainkäyttöalueilla ei hyväksytä vastuun rajoittamista tai poistamista satunnaisten tai välillisten vahinkojen osalta, edellä mainittu rajoitus ei ehkä koske kaikkia käyttäjiä.

Dotknuté produkty

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60
Vlastnosti článku
Číslo článku: 000176947
Typ článku: Solution
Dátum poslednej úpravy: 11 dec 2024
Verzia:  4
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.