Preskočiť na hlavný obsah
Odhlásiť sa

Vitajte v spoločnosti Dell!

Moje konto
  • Zadávajte objednávky rýchlo a jednoducho
  • Pozrite si svoje objednávky a sledujte priebeh doručenia
  • Vytvorte si zoznam svojich produktov a majte ho vždy poruke
Prihlásiť sa Vytvoriť konto Prihlásenie na stránky Premier Prihlásenie do partnerského programu
Kontaktujte nás

DSA-2019-028: Dell EMC iDRAC'ta Birden Fazla Güvenlik Açığı

Zhrnutie: Dell EMC iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncelleştirilmiştir.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

DSA Kimliği: DSA-2019-028

CVE Tanımlayıcısı: CVE-2019-3705, CVE-2019-3706, CVE-2019-3707

Önem derecesi: Yüksek

Önem Seviyesi: Her bir CVE'nin CVSS Puanını ayrı ayrı görmek için aşağıdaki Ayrıntılar bölümüne bakın
                         
Etkilenen ürünler:
 
  • 2.92 öncesi Dell EMC iDRAC6 sürümleri (CVE-2019-3705)
  • 2.61.60.60 öncesi Dell EMC iDRAC7/iDRAC8 sürümleri (CVE-2019-3705)
  • 3.30.30.30, 3.20.21.20, 3.21.24.22, 3.21.26.22, 3.23.23.23, 3.24.24.24, 3.22.22.22, 3.21.25.22 öncesi Dell EMC iDRAC9 sürümleri (CVE-2019-3705, CVE-2019-3706 ve CVE-2019-3707)

Özet:  
Dell EMC iDRAC, etkilenen sistemleri tehlikeye atmak için kullanılma ihtimali olan çeşitli güvenlik açıklarını çözmek için güncelleştirilmiştir.

Ayrıntılar:  
  • Arabellek Taşması Güvenlik Açığı (CVE-2019-3705)
     
2.92 öncesi Dell EMC iDRAC6 sürümleri, 2.61.60.60 öncesi iDRAC7/iDRAC8 sürümleri ile 3.20.21.20, 3.21.24.22, 3.21.26.22 ve 3.23.23.23 öncesi iDRAC9 sürümlerinde yığın tabanlı bir arabellek taşması güvenlik açığı mevcuttur. Uzaktaki doğrulanmamış saldırganlar, etkilenen sisteme özel olarak tasarlanmış girdi verileri göndererek ağ sunucusunun çökmesine sebep olmak ya da ağ sunucusunun ayrıcalıklarıyla sistemde isteğe bağlı kod yürütmek için bu güvenlik açığından yararlanabilir.

CVSSv3 Taban Puanı 8,1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
 
  • Web Arabirimi Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3706)
 
3.24.24.24, 3.21.26.22, 3.22.22.22 ve 3.21.25.22 öncesi Dell EMC iDRAC9 sürümlerinde bir kimlik doğrulamasını atlama güvenlik açığı mevcuttur. Uzaktaki saldırganlar, iDRAC ağ arabirimine özel olarak tasarlanmış veriler gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.

CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)
 
  • WS-MAN Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2019-3707)
 
3.30.30.30 öncesi Dell EMC iDRAC9 sürümlerinde bir kimlik doğrulamasını atlama güvenlik açığı mevcuttur. Uzaktaki saldırganlar, WS-MAN arabirimine özel olarak tasarlanmış girdi verileri gönderip kimlik doğrulamayı atlayarak sisteme erişmek için bu güvenlik açığından yararlanabilir.
 
CVSSv3 Taban Puanı 8,6 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)

Çözüm:      
Aşağıdaki Dell EMC iDRAC bellenim sürümleri, bu güvenlik açıklarına yönelik çözümler içerir:
 

iDRAC

iDRAC bellenim sürümü

iDRAC9

3.20.21.20

3.21.24.22

3.21.26.22

3.23.23.23

 

3.24.24.24

 

3.22.22.22

 

3.21.25.22

 

3.30.30.30

iDRAC8

2.61.60.60

iDRAC7

2.61.60.60

iDRAC6

2.92


Dell EMC, tüm müşterilerin ilk fırsatta yükseltme yapmasını önerir.  

iDRAC ile ilgili Dell En İyi Uygulamaları:

Dell, güncel iDRAC bellenimine sahip olmaya ek olarak aşağıdakileri yapmanızı da önerir:
  • iDRAC'lar İnternet'e yerleştirilmek veya bağlanmak üzere tasarlanmamıştır; ayrı bir yönetim ağında olmak üzere tasarlanmıştır.  iDRAC'ları doğrudan İnternet'e yerleştirmek ya da bağlamak, bağlı sistemi Dell'in sorumlu olmadığı güvenlik risklerine ve diğer risklere maruz bırakabilir.   
  • iDRAC'ları ayrı bir yönetim alt ağına yerleştirmenin yanı sıra kullanıcılar yönetim alt ağını/vLAN'ı güvenlik duvarları gibi teknolojilerle korumalı ve alt ağ/vLAN erişimini yetkili sunucu yöneticileriyle sınırlandırmalıdır.
  • Dell, müşterilerin genel riskleri değerlendirmek için ortamlarıyla ilgili olabilecek tüm dağıtım faktörlerini hesaba katmalarını önerir.

Çözümler için bağlantı:

Müşteriler, PowerEdge sunucular için iDRAC bellenimini indirebilir. Diğer tüm platformlar için lütfen Dell Support sitesinden platform seçin.


Dell, tüm kullanıcıların bu bilgilerin bireysel durumlarına uygulanabilirliğini belirlemelerini ve uygun önlemleri almalarını önerir. Burada ifade edilen bilgiler, herhangi bir garanti verilmeksizin "olduğu gibi" sağlanmaktadır. Dell, satılabilirlik garantileri, belirli bir amaca uygunluk, unvan ve ihlal etmeme dahil olmak üzere, sarih ya da zımni tüm garantileri reddeder. Hasar potansiyelinin bildirilmesine rağmen Dell veya tedarikçileri, hiçbir koşulda doğrudan, dolaylı, tesadüfi ya da sonuç olarak meydana gelen ticari kâr kaybı veya özel zararlar dahil olmak üzere hiçbir zarardan sorumlu olmayacaktır. Bazı bölgelerde, dolaylı meydana gelen veya tesadüfi zararlar için sorumluluk reddi veya sınırlandırılmasına izin vermez, bu nedenle yukarıdaki sınırlama geçerli olmayabilir.

Dotknuté produkty

iDRAC7/8 with Lifecycle Controller Version 2.61.60.60
Vlastnosti článku
Číslo článku: 000176947
Typ článku: Solution
Dátum poslednej úpravy: 11 dec 2024
Verzia:  4
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.