跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

DSA-2021-106: Dell 클라이언트 BIOS의 일부로 제공되는 BIOSConnect 및 HTTPS 부팅 기능의 여러 취약성에 대한 Dell 클라이언트 플랫폼 보안 업데이트

摘要: Dell은 BIOSConnect 및 HTTPS 부팅 기능에 영향을 미치는 여러 보안 취약성에 대한 문제 해결 방법을 릴리스하고 있습니다.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

影響

High

詳細資料

독점 코드 CVE 설명 CVSS 기본 점수 CVSS 벡터 문자열
CVE-2021-21571 Dell BIOSConnect 기능 및 Dell HTTPS 부팅 기능에서 활용하는 Dell UEFI BIOS HTTPS 스택에는 부적절한 인증서 유효성 검사 취약성이 있습니다. 인증되지 않은 원격 공격자는 중간자 공격을 사용하여 이 취약성을 이용할 수 있으며, 이로 인해 서비스 거부 및 페이로드 변조가 발생할 수 있습니다. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect 기능에 버퍼 오버플로 취약성이 포함되어 있습니다. 시스템에 대한 로컬 액세스 권한이 있는 악의적인 인증된 관리자는 이 취약성을 악용하여 임의 코드를 실행하고 UEFI 제한을 우회할 수 있습니다. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 및 HTTPS 부팅 기능에 대한 설명:
  • Dell BIOSConnect 기능은 Dell 클라이언트 플랫폼에서 SupportAssist OS Recovery를 사용하여 시스템 BIOS를 업데이트하고 OS(Operating System)를 복구하는 데 사용되는 Dell 부팅 전 솔루션입니다. 참고: BIOSConnect에서 이 기능을 시작하려면 실제 사용자가 필요합니다. BIOSConnect 기능이 있는 플랫폼의 하위 집합만 영향을 받습니다. 영향을 받는 플랫폼은 아래 추가 정보 섹션의 표를 참조하십시오.
  • Dell HTTPS 부팅 기능은 HTTP(S) 서버에서 부팅하기 위한 UEFI HTTP 부팅 사양의 확장입니다. 참고: 이 기능은 기본적으로 구성되어 있지 않으며 구성하려면 로컬 OS 관리자 권한이 있는 실제 사용자가 필요합니다. 또한 무선 네트워크와 함께 사용할 때 이 기능을 시작하려면 실제 사용자가 필요합니다. 일부 플랫폼에는 HTTPS 부팅 기능이 포함되어 있지 않습니다. 영향을 받는 플랫폼 목록은 아래 추가 정보 섹션의 표를 참조하십시오.
위의 취약성은 취약성 체인으로 보고되었습니다. 취약성 체인의 누적 점수는 다음과 같습니다. 8.3 High CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

체인을 악용하려면 다음 추가 단계가 필요합니다.
  • BIOSConnect의 취약성 체인을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS https 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 BIOSConnect 기능을 사용할 때까지 기다립니다.
  • HTTPS 부팅의 취약성을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS HTTPS 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 부팅 순서를 변경하고 HTTPS 부팅 기능을 사용할 때까지 기다립니다.
고객은 아래의 문제 해결 방법을 적용하는 것 외에도 보안 네트워크만 사용하고 디바이스에 대한 로컬 및 물리적 무단 액세스를 방지함으로써 보안 모범 사례를 따라 스스로를 더욱 보호할 수 있습니다. 고객은 보안 부팅(Windows가 설치된 Dell 플랫폼의 경우 기본적으로 활성화됨) 및 BIOS 관리자 암호와 같은 플랫폼 보안 기능을 활성화하여 보호 기능을 추가해야 합니다.

참고: 보안 부팅이 비활성화된 경우 CVE-2021-21571 보안 취약성과 관련된 잠재적 심각도에 영향을 줄 수 있습니다.
독점 코드 CVE 설명 CVSS 기본 점수 CVSS 벡터 문자열
CVE-2021-21571 Dell BIOSConnect 기능 및 Dell HTTPS 부팅 기능에서 활용하는 Dell UEFI BIOS HTTPS 스택에는 부적절한 인증서 유효성 검사 취약성이 있습니다. 인증되지 않은 원격 공격자는 중간자 공격을 사용하여 이 취약성을 이용할 수 있으며, 이로 인해 서비스 거부 및 페이로드 변조가 발생할 수 있습니다. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect 기능에 버퍼 오버플로 취약성이 포함되어 있습니다. 시스템에 대한 로컬 액세스 권한이 있는 악의적인 인증된 관리자는 이 취약성을 악용하여 임의 코드를 실행하고 UEFI 제한을 우회할 수 있습니다. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Dell BIOSConnect 및 HTTPS 부팅 기능에 대한 설명:
  • Dell BIOSConnect 기능은 Dell 클라이언트 플랫폼에서 SupportAssist OS Recovery를 사용하여 시스템 BIOS를 업데이트하고 OS(Operating System)를 복구하는 데 사용되는 Dell 부팅 전 솔루션입니다. 참고: BIOSConnect에서 이 기능을 시작하려면 실제 사용자가 필요합니다. BIOSConnect 기능이 있는 플랫폼의 하위 집합만 영향을 받습니다. 영향을 받는 플랫폼은 아래 추가 정보 섹션의 표를 참조하십시오.
  • Dell HTTPS 부팅 기능은 HTTP(S) 서버에서 부팅하기 위한 UEFI HTTP 부팅 사양의 확장입니다. 참고: 이 기능은 기본적으로 구성되어 있지 않으며 구성하려면 로컬 OS 관리자 권한이 있는 실제 사용자가 필요합니다. 또한 무선 네트워크와 함께 사용할 때 이 기능을 시작하려면 실제 사용자가 필요합니다. 일부 플랫폼에는 HTTPS 부팅 기능이 포함되어 있지 않습니다. 영향을 받는 플랫폼 목록은 아래 추가 정보 섹션의 표를 참조하십시오.
위의 취약성은 취약성 체인으로 보고되었습니다. 취약성 체인의 누적 점수는 다음과 같습니다. 8.3 High CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

체인을 악용하려면 다음 추가 단계가 필요합니다.
  • BIOSConnect의 취약성 체인을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS https 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 BIOSConnect 기능을 사용할 때까지 기다립니다.
  • HTTPS 부팅의 취약성을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS HTTPS 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 부팅 순서를 변경하고 HTTPS 부팅 기능을 사용할 때까지 기다립니다.
고객은 아래의 문제 해결 방법을 적용하는 것 외에도 보안 네트워크만 사용하고 디바이스에 대한 로컬 및 물리적 무단 액세스를 방지함으로써 보안 모범 사례를 따라 스스로를 더욱 보호할 수 있습니다. 고객은 보안 부팅(Windows가 설치된 Dell 플랫폼의 경우 기본적으로 활성화됨) 및 BIOS 관리자 암호와 같은 플랫폼 보안 기능을 활성화하여 보호 기능을 추가해야 합니다.

참고: 보안 부팅이 비활성화된 경우 CVE-2021-21571 보안 취약성과 관련된 잠재적 심각도에 영향을 줄 수 있습니다.
Dell Technologies 建議所有客戶不僅要參考 CVSS 基本分數,也要將可能會影響與特定安全漏洞相關之潛在嚴重性的所有相關暫時和環境分數納入考量。

受影響的產品與補救措施

CVE-2021-21573 및 CVE-2021-21574는 2021년 5월 28일 Dell 백엔드 서버의 BIOSConnect 관련 구성 요소에서 문제 해결되었으며 추가 고객 조치가 필요하지 않습니다.

CVE-2021-21571 및 CVE-2021-21572는 취약성을 해결하기 위해 Dell 클라이언트 BIOS 업데이트가 필요합니다. 시스템에 적용할 문제 해결된 Dell 클라이언트 BIOS 버전을 확인하려면 추가 정보 섹션 아래의 표를 참조하십시오. Dell 클라이언트 BIOS를 업데이트하는 방법에는 여러 가지가 있습니다. 일반적으로 BIOSConnect를 사용하여 BIOS를 업데이트하는 경우 다음과 같은 다른 방법으로 BIOS 업데이트를 적용하는 것이 좋습니다. BIOS 업데이트를 즉시 적용할 수 없는 사용자를 위해 Dell은 BIOSConnect 및 HTTPS 부팅 기능을 비활성화하기 위한 임시 완화 조치를 제공했습니다. 아래 섹션을 참조하십시오.
CVE-2021-21573 및 CVE-2021-21574는 2021년 5월 28일 Dell 백엔드 서버의 BIOSConnect 관련 구성 요소에서 문제 해결되었으며 추가 고객 조치가 필요하지 않습니다.

CVE-2021-21571 및 CVE-2021-21572는 취약성을 해결하기 위해 Dell 클라이언트 BIOS 업데이트가 필요합니다. 시스템에 적용할 문제 해결된 Dell 클라이언트 BIOS 버전을 확인하려면 추가 정보 섹션 아래의 표를 참조하십시오. Dell 클라이언트 BIOS를 업데이트하는 방법에는 여러 가지가 있습니다. 일반적으로 BIOSConnect를 사용하여 BIOS를 업데이트하는 경우 다음과 같은 다른 방법으로 BIOS 업데이트를 적용하는 것이 좋습니다. BIOS 업데이트를 즉시 적용할 수 없는 사용자를 위해 Dell은 BIOSConnect 및 HTTPS 부팅 기능을 비활성화하기 위한 임시 완화 조치를 제공했습니다. 아래 섹션을 참조하십시오.

다음은 영향을 받는 제품 목록과 릴리스 날짜, 적용할 최소 BIOS 버전입니다.   
 

제품 BIOS 업데이트 버전
(이상)
BIOSConnect 지원 HTTP(s) 부팅 지원 릴리스 날짜(YYYY년 MM월 DD일)
예상 릴리스(YYYY년 M월)
Alienware m15 R6 1.3.3 2021년 6월 21일
ChengMing 3990 1.4.1 아니요 2021년 6월 23일
ChengMing 3991 1.4.1 아니요 2021년 6월 23일
Dell G15 5510 1.4.0 2021년 6월 21일
Dell G15 5511 1.3.3 2021년 6월 21일
Dell G3 3500 1.9.0 아니요 2021년 6월 24일
Dell G5 5500 1.9.0 아니요 2021년 6월 24일
Dell G7 7500 1.9.0 아니요 2021년 6월 23일
Dell G7 7700 1.9.0 아니요 2021년 6월 23일
Inspiron 14 5418 2.1.0 A06 2021년 6월 24일
Inspiron 15 5518 2.1.0 A06 2021년 6월 24일
Inspiron 15 7510 1.0.4 2021년 6월 23일
Inspiron 3501 1.6.0 아니요 2021년 6월 23일
Inspiron 3880 1.4.1 아니요 2021년 6월 23일
Inspiron 3881 1.4.1 아니요 2021년 6월 23일
Inspiron 3891 1.0.11 2021년 6월 24일
Inspiron 5300 1.7.1 아니요 2021년 6월 23일
Inspiron 5301 1.8.1 아니요 2021년 6월 23일
Inspiron 5310 2.1.0 2021년 6월 23일
Inspiron 5400 2n1 1.7.0 아니요 2021년 6월 23일
Inspiron 5400 AIO 1.4.0 아니요 2021년 6월 23일
Inspiron 5401 1.7.2 아니요 2021년 6월 23일
Inspiron 5401 AIO 1.4.0 아니요 2021년 6월 23일
Inspiron 5402 1.5.1 아니요 2021년 6월 23일
Inspiron 5406 2n1 1.5.1 아니요 2021년 6월 23일
Inspiron 5408 1.7.2 아니요 2021년 6월 23일
Inspiron 5409 1.5.1 아니요 2021년 6월 23일
Inspiron 5410 2-in-1 2.1.0 2021년 6월 23일
Inspiron 5501 1.7.2 아니요 2021년 6월 23일
Inspiron 5502 1.5.1 아니요 2021년 6월 23일
Inspiron 5508 1.7.2 아니요 2021년 6월 23일
Inspiron 5509 1.5.1 아니요 2021년 6월 23일
Inspiron 7300 1.8.1 아니요 2021년 6월 23일
Inspiron 7300 2n1 1.3.0 아니요 2021년 6월 23일
Inspiron 7306 2n1 1.5.1 아니요 2021년 6월 23일
Inspiron 7400 1.8.1 아니요 2021년 6월 23일
Inspiron 7500 1.8.0 아니요 2021년 6월 23일
Inspiron 7500 2n1 - 블랙 1.3.0 아니요 2021년 6월 23일
Inspiron 7500 2n1 - 실버 1.3.0 아니요 2021년 6월 23일
Inspiron 7501 1.8.0 아니요 2021년 6월 23일
Inspiron 7506 2n1 1.5.1 아니요 2021년 6월 23일
Inspiron 7610 1.0.4 2021년 6월 23일
Inspiron 7700 AIO 1.4.0 아니요 2021년 6월 23일
Inspiron 7706 2n1 1.5.1 아니요 2021년 6월 23일
Latitude 3120 1.1.0 아니요 2021년 6월 23일
Latitude 3320 1.4.0 2021년 6월 23일
Latitude 3410 1.9.0 아니요 2021년 6월 23일
Latitude 3420 1.8.0 아니요 2021년 6월 23일
Latitude 3510 1.9.0 아니요 2021년 6월 23일
Latitude 3520 1.8.0 아니요 2021년 6월 23일
Latitude 5310 1.7.0 아니요 2021년 6월 24일
Latitude 5310 2 in 1 1.7.0 아니요 2021년 6월 24일
Latitude 5320 1.7.1 2021년 6월 21일
Latitude 5320 2-in-1 1.7.1 2021년 6월 21일
Latitude 5410 1.6.0 아니요 2021년 6월 23일
Latitude 5411 1.6.0 아니요 2021년 6월 23일
Latitude 5420 1.8.0 2021년 6월 22일
Latitude 5510 1.6.0 아니요 2021년 6월 23일
Latitude 5511 1.6.0 아니요 2021년 6월 23일
Latitude 5520 1.7.1 2021년 6월 21일
Latitude 5521 1.3.0 A03 2021년 6월 22일
Latitude 7210 2-in-1 1.7.0 아니요 2021년 6월 23일
Latitude 7310 1.7.0 아니요 2021년 6월 23일
Latitude 7320 1.7.1 2021년 6월 23일
Latitude 7320 분리형 1.4.0 A04 2021년 6월 22일
Latitude 7410 1.7.0 아니요 2021년 6월 23일
Latitude 7420 1.7.1 2021년 6월 23일
Latitude 7520 1.7.1 2021년 6월 23일
Latitude 9410 1.7.0 아니요 2021년 6월 23일
Latitude 9420 1.4.1 2021년 6월 23일
Latitude 9510 1.6.0 아니요 2021년 6월 23일
Latitude 9520 1.5.2 2021년 6월 23일
Latitude 5421 1.3.0 A03 2021년 6월 22일
OptiPlex 3080 2.1.1 아니요 2021년 6월 23일
OptiPlex 3090 UFF 1.2.0 2021년 6월 23일
OptiPlex 3280 All-in-One 1.7.0 아니요 2021년 6월 23일
OptiPlex 5080 1.4.0 아니요 2021년 6월 23일
OptiPlex 5090 타워 1.1.35 2021년 6월 23일
OptiPlex 5490 AIO 1.3.0 2021년 6월 24일
OptiPlex 7080 1.4.0 아니요 2021년 6월 23일
OptiPlex 7090 타워 1.1.35 2021년 6월 23일
OptiPlex 7090 UFF 1.2.0 2021년 6월 23일
OptiPlex 7480 All-in-One 1.7.0 아니요 2021년 6월 23일
OptiPlex 7490 All-in-One 1.3.0 2021년 6월 24일
OptiPlex 7780 All-in-One 1.7.0 아니요 2021년 6월 23일
Precision 17 M5750 1.8.2 아니요 2021년 6월 9일
Precision 3440 1.4.0 아니요 2021년 6월 23일
Precision 3450 1.1.35 2021년 6월 24일
Precision 3550 1.6.0 아니요 2021년 6월 23일
Precision 3551 1.6.0 아니요 2021년 6월 23일
Precision 3560 1.7.1 2021년 6월 21일
Precision 3561 1.3.0 A03 2021년 6월 22일
Precision 3640 1.6.2 아니요 2021년 6월 23일
Precision 3650 MT 1.2.0 2021년 6월 24일
Precision 5550 1.8.1 아니요 2021년 6월 23일
Precision 5560 1.3.2 2021년 6월 23일
Precision 5760 1.1.3 2021년 6월 16일
Precision 7550 1.8.0 아니요 2021년 6월 23일
Precision 7560 1.1.2 2021년 6월 22일
Precision 7750 1.8.0 아니요 2021년 6월 23일
Precision 7760 1.1.2 2021년 6월 22일
Vostro 14 5410 2.1.0 A06 2021년 6월 24일
Vostro 15 5510 2.1.0 A06 2021년 6월 24일
Vostro 15 7510 1.0.4 2021년 6월 23일
Vostro 3400 1.6.0 아니요 2021년 6월 23일
Vostro 3500 1.6.0 아니요 2021년 6월 23일
Vostro 3501 1.6.0 아니요 2021년 6월 23일
Vostro 3681 2.4.0 아니요 2021년 6월 23일
Vostro 3690 1.0.11 2021년 6월 24일
Vostro 3881 2.4.0 아니요 2021년 6월 23일
Vostro 3888 2.4.0 아니요 2021년 6월 23일
Vostro 3890 1.0.11 2021년 6월 24일
Vostro 5300 1.7.1 아니요 2021년 6월 23일
Vostro 5301 1.8.1 아니요 2021년 6월 23일
Vostro 5310 2.1.0 2021년 6월 23일
Vostro 5401 1.7.2 아니요 2021년 6월 23일
Vostro 5402 1.5.1 아니요 2021년 6월 23일
Vostro 5501 1.7.2 아니요 2021년 6월 23일
Vostro 5502 1.5.1 아니요 2021년 6월 23일
Vostro 5880 1.4.0 아니요 2021년 6월 23일
Vostro 5890 1.0.11 2021년 6월 24일
Vostro 7500 1.8.0 아니요 2021년 6월 23일
XPS 13 9305 1.0.8 아니요 2021년 6월 23일
XPS 13 2in1 9310 2.3.3 아니요 2021년 6월 23일
XPS 13 9310 3.0.0 아니요 2021년 6월 24일
XPS 15 9500 1.8.1 아니요 2021년 6월 23일
XPS 15 9510 1.3.2 2021년 6월 23일
XPS 17 9700 1.8.2 아니요 2021년 6월 9일
XPS 17 9710 1.1.3 2021년 6월 15일

因應措施與緩解措施

Dell은 모든 고객에게 가능한 빨리 최신 Dell 클라이언트 BIOS 버전으로 업데이트할 것을 권장합니다. BIOS 업데이트를 즉시 적용하지 않거나 지금 적용할 수 없는 고객은 아래의 완화 조치를 적용해야 합니다.

BIOSConnect:

고객은 다음 두 옵션 중 하나를 사용하여 BIOSConnect 기능을 비활성화할 수 있습니다.
옵션 1: 고객은 BIOS Setup 페이지(F2)에서 BIOSConnect를 비활성화할 수 있습니다.
참고: 고객은 플랫폼 모델에 따라 다른 BIOS Setup 메뉴 인터페이스에서 BIOSConnect 옵션을 찾을 수 있습니다. 아래에는 BIOS Setup 메뉴 유형 A와 BIOS Setup 메뉴 유형 B가 나와 있습니다.
BIOS Setup 메뉴 유형 A: F2 > Update, Recovery > BIOSConnect > Off로 전환
BIOS Setup 메뉴 유형 B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > BIOSConnect 옵션 선택 해제
 
옵션 2: 고객은 DCC(Dell Command | Configure)의 원격 시스템 관리 툴을 사용하여 BIOSConnect BIOS 설정을 비활성화할 수 있습니다.
 
참고: Dell은 시스템이 문제 해결된 BIOS 버전으로 업데이트될 때까지 F12의 "BIOS Flash Update - Remote"를 실행하지 않을 것을 권장합니다.

HTTPS 부팅:
고객은 다음 두 옵션 중 하나를 사용하여 HTTPS 부팅 기능을 비활성화할 수 있습니다.
옵션 1: 고객은 BIOS Setup 페이지(F2)에서 BIOSConnect를 비활성화할 수 있습니다.
BIOS Setup 메뉴 유형 A: F2 > Connection > HTTP(s) Boot > Off로 전환
BIOS Setup 메뉴 유형 B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > BIOSConnect 옵션 선택 해제
옵션 2: 고객은 DCC(Dell Command | Configure)의 원격 시스템 관리 툴을 사용하여 HTTPS 부팅 지원을 비활성화할 수 있습니다.

修訂歷史記錄

개정날짜설명
1.02021년 6월 24일최초 릴리스

感謝

Dell은 이 문제를 보고해 주신 Eclypsium의 Jesse Michael과 Mickey Shkatov에게 감사의 뜻을 전합니다.

相關資訊

受影響的產品

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

產品

Product Security Information
文章屬性
文章編號: 000188682
文章類型: Dell Security Advisory
上次修改時間: 15 9月 2021
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。