跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

DSA-2021-106: Aggiornamento di sicurezza delle piattaforme client Dell per molteplici vulnerabilità riscontrate nelle funzioni BIOSConnect e HTTPS Boot incluse nel BIOS del client Dell

摘要: Dell sta pubblicando le correzioni per molteplici vulnerabilità di sicurezza che interessano le funzioni BIOSConnect e HTTPS Boot.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

影響

High

詳細資料

CVEs codice proprietario Descrizione Punteggio base CVSS Stringa vettoriale CVSS
CVE-2021-21571 Lo stack https del BIOS UEFI di Dell utilizzato dalla funzione Dell BIOSConnect e Dell HTTPS Boot contiene una vulnerabilità di convalida di certificato non corretta. Un malintenzionato non autenticato in remoto può sfruttare questa vulnerabilità utilizzando un attacco di tipo "person-in-the-middle", che potrebbe causare un Denial of Service e una manomissione del payload. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
La funzione Dell BIOSConnect contiene una vulnerabilità di sovraccarico del buffer. Un utente amministratore malintenzionato autenticato con accesso locale al sistema potrebbe potenzialmente sfruttare questa vulnerabilità per eseguire un codice arbitrario e ignorare le restrizioni UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Descrizione delle funzioni Dell BIOSConnect e HTTPS Boot:
  • La funzione Dell BIOSConnect è una soluzione di preavvio di Dell che viene utilizzata per aggiornare il BIOS di sistema e per ripristinare il sistema operativo (OS) utilizzando le piattaforme SupportAssist OS Recovery e client Dell. Nota: BIOSConnect richiede un utente fisicamente presente per avviare questa funzione. Solo un sottoinsieme di piattaforme con la funzione BIOSConnect è interessato dal problema. Consultare la tabella nella sezione Informazioni aggiuntive riportata di seguito per visualizzare le piattaforme interessate.
  • La funzione Dell HTTPS Boot è un'estensione alle specifiche UEFI HTTP Boot per l'avvio da una server HTTP(S). Nota: questa funzione non è configurata per impostazione predefinita e richiede un utente fisicamente presente che disponga dei diritti di amministratore del sistema operativo locale per la configurazione. Un utente fisicamente presente è necessario anche per avviare la funzione se utilizzata con reti wireless. Non tutte le piattaforme contengono la funzione HTTPS Boot. Consultare la tabella sotto la sezione Informazioni aggiuntive riportata di seguito per un elenco delle piattaforme interessate.
Le vulnerabilità di cui sopra sono state segnalate come catena di vulnerabilità. Il punteggio complessivo della catena di vulnerabilità è: 8.3 High CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

L'exploit della catena richiede dei passaggi aggiuntivi:
  • Per sfruttare la catena di vulnerabilità in BIOSConnect, un utente malintenzionato deve effettuare separatamente ulteriori passaggi affinché l'exploit vada a buon fine, inclusi: compromettere la rete di un utente, ottenere un certificato ottenuto da una delle CA integrate dello stack https del BIOS UEFI di Dell e attendere che un utente fisicamente presente nel sistema utilizzi la funzione BIOSConnect.
  • Per sfruttare la catena di vulnerabilità HTTPS Boot, un utente malintenzionato deve effettuare separatamente ulteriori passaggi affinché l'exploit vada a buon fine, inclusi: compromettere la rete di un utente, ottenere un certificato ottenuto da una delle CA integrate dello stack https del BIOS UEFI di Dell e attendere che un utente fisicamente presente nel sistema modifichi l'ordine di avvio e utilizzi la funzione BIOSConnect.
Oltre ad applicare le correzioni riportate di seguito, i clienti possono proteggersi ulteriormente seguendo le procedure consigliate per la sicurezza, ossia utilizzare solo reti protette e impedire l'accesso locale e fisico non autorizzato ai dispositivi. I clienti dovrebbero inoltre abilitare le funzionalità di protezione della piattaforma, ad esempio Secure Boot (abilitata per impostazione predefinita nelle piattaforme Dell con Windows) e la password amministratore del BIOS come protezione aggiuntiva.

Nota: se Secure Boot è disabilitata, la gravità associata alla vulnerabilità di sicurezza CVE-2021-21571 potrebbe aumentare.
CVEs codice proprietario Descrizione Punteggio base CVSS Stringa vettoriale CVSS
CVE-2021-21571 Lo stack https del BIOS UEFI di Dell utilizzato dalla funzione Dell BIOSConnect e Dell HTTPS Boot contiene una vulnerabilità di convalida di certificato non corretta. Un malintenzionato non autenticato in remoto può sfruttare questa vulnerabilità utilizzando un attacco di tipo "person-in-the-middle", che potrebbe causare un Denial of Service e una manomissione del payload. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
La funzione Dell BIOSConnect contiene una vulnerabilità di sovraccarico del buffer. Un utente amministratore malintenzionato autenticato con accesso locale al sistema potrebbe potenzialmente sfruttare questa vulnerabilità per eseguire un codice arbitrario e ignorare le restrizioni UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Descrizione delle funzioni Dell BIOSConnect e HTTPS Boot:
  • La funzione Dell BIOSConnect è una soluzione di preavvio di Dell che viene utilizzata per aggiornare il BIOS di sistema e per ripristinare il sistema operativo (OS) utilizzando le piattaforme SupportAssist OS Recovery e client Dell. Nota: BIOSConnect richiede un utente fisicamente presente per avviare questa funzione. Solo un sottoinsieme di piattaforme con la funzione BIOSConnect è interessato dal problema. Consultare la tabella nella sezione Informazioni aggiuntive riportata di seguito per visualizzare le piattaforme interessate.
  • La funzione Dell HTTPS Boot è un'estensione alle specifiche UEFI HTTP Boot per l'avvio da una server HTTP(S). Nota: questa funzione non è configurata per impostazione predefinita e richiede un utente fisicamente presente che disponga dei diritti di amministratore del sistema operativo locale per la configurazione. Un utente fisicamente presente è necessario anche per avviare la funzione se utilizzata con reti wireless. Non tutte le piattaforme contengono la funzione HTTPS Boot. Consultare la tabella sotto la sezione Informazioni aggiuntive riportata di seguito per un elenco delle piattaforme interessate.
Le vulnerabilità di cui sopra sono state segnalate come catena di vulnerabilità. Il punteggio complessivo della catena di vulnerabilità è: 8.3 High CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

L'exploit della catena richiede dei passaggi aggiuntivi:
  • Per sfruttare la catena di vulnerabilità in BIOSConnect, un utente malintenzionato deve effettuare separatamente ulteriori passaggi affinché l'exploit vada a buon fine, inclusi: compromettere la rete di un utente, ottenere un certificato ottenuto da una delle CA integrate dello stack https del BIOS UEFI di Dell e attendere che un utente fisicamente presente nel sistema utilizzi la funzione BIOSConnect.
  • Per sfruttare la catena di vulnerabilità HTTPS Boot, un utente malintenzionato deve effettuare separatamente ulteriori passaggi affinché l'exploit vada a buon fine, inclusi: compromettere la rete di un utente, ottenere un certificato ottenuto da una delle CA integrate dello stack https del BIOS UEFI di Dell e attendere che un utente fisicamente presente nel sistema modifichi l'ordine di avvio e utilizzi la funzione BIOSConnect.
Oltre ad applicare le correzioni riportate di seguito, i clienti possono proteggersi ulteriormente seguendo le procedure consigliate per la sicurezza, ossia utilizzare solo reti protette e impedire l'accesso locale e fisico non autorizzato ai dispositivi. I clienti dovrebbero inoltre abilitare le funzionalità di protezione della piattaforma, ad esempio Secure Boot (abilitata per impostazione predefinita nelle piattaforme Dell con Windows) e la password amministratore del BIOS come protezione aggiuntiva.

Nota: se Secure Boot è disabilitata, la gravità associata alla vulnerabilità di sicurezza CVE-2021-21571 potrebbe aumentare.
Dell Technologies 建議所有客戶不僅要參考 CVSS 基本分數,也要將可能會影響與特定安全漏洞相關之潛在嚴重性的所有相關暫時和環境分數納入考量。

受影響的產品與補救措施

CVE-2021-21573 e CVE-2021-21574 sono stati corretti nei componenti relativi a BIOSConnect sui server di backend Dell il 28 maggio 2021 e non richiedono ulteriori azioni da parte del cliente.

CVE-2021-21571 e CVE-2021-21572 richiedono gli aggiornamenti del BIOS del client Dell per risolvere le vulnerabilità. Consultare la tabella nella sezione Informazioni aggiuntive per stabilire la versione BIOS del client Dell corretta da applicare al sistema. Esistono diversi modi per aggiornare il BIOS del client Dell. Se in genere si utilizza BIOSConnect per aggiornare il BIOS, Dell consiglia di utilizzare un metodo diverso per applicare gli aggiornamenti del BIOS, ad esempio: Per coloro che non possono applicare immediatamente gli aggiornamenti del BIOS, Dell ha anche fornito una mitigazione temporanea per disabilitare le funzioni BIOSConnect e HTTPS Boot. Consultare la sezione riportata di seguito.
CVE-2021-21573 e CVE-2021-21574 sono stati corretti nei componenti relativi a BIOSConnect sui server di backend Dell il 28 maggio 2021 e non richiedono ulteriori azioni da parte del cliente.

CVE-2021-21571 e CVE-2021-21572 richiedono gli aggiornamenti del BIOS del client Dell per risolvere le vulnerabilità. Consultare la tabella nella sezione Informazioni aggiuntive per stabilire la versione BIOS del client Dell corretta da applicare al sistema. Esistono diversi modi per aggiornare il BIOS del client Dell. Se in genere si utilizza BIOSConnect per aggiornare il BIOS, Dell consiglia di utilizzare un metodo diverso per applicare gli aggiornamenti del BIOS, ad esempio: Per coloro che non possono applicare immediatamente gli aggiornamenti del BIOS, Dell ha anche fornito una mitigazione temporanea per disabilitare le funzioni BIOSConnect e HTTPS Boot. Consultare la sezione riportata di seguito.

Di seguito è riportato un elenco dei prodotti interessati, le date di rilascio e le versioni minime del BIOS da applicare:   
 

Prodotto Versione aggiornamento del BIOS
(o superiore)
Supporta BIOSConnect Supporta HTTP(s) Boot Data di rilascio (GG/MM/AAAA)
Rilascio previsto (Mese /AAAA)
Alienware m15 R6 1.3.3 21/06/2021
ChengMing 3990 1.4.1 No 23/06/2021
ChengMing 3991 1.4.1 No 23/06/2021
Dell G15 5510 1.4.0 21/06/2021
Dell G15 5511 1.3.3 21/06/2021
Dell G3 3500 1.9.0 No 24/06/2021
Dell G5 5500 1.9.0 No 24/06/2021
Dell G7 7500 1.9.0 No 23/06/2021
Dell G7 7700 1.9.0 No 23/06/2021
Inspiron 14 5418 2.1.0 A06 24/06/2021
Inspiron 15 5518 2.1.0 A06 24/06/2021
Inspiron 15 7510 1.0.4 23/06/2021
Inspiron 3501 1.6.0 No 23/06/2021
Inspiron 3880 1.4.1 No 23/06/2021
Inspiron 3881 1.4.1 No 23/06/2021
Inspiron 3891 1.0.11 24/06/2021
Inspiron 5300 1.7.1 No 23/06/2021
Inspiron 5301 1.8.1 No 23/06/2021
Inspiron 5310 2.1.0 23/06/2021
Inspiron 5400 2n1 1.7.0 No 23/06/2021
Inspiron 5400 AIO 1.4.0 No 23/06/2021
Inspiron 5401 1.7.2 No 23/06/2021
Inspiron 5401 AIO 1.4.0 No 23/06/2021
Inspiron 5402 1.5.1 No 23/06/2021
Inspiron 5406 2n1 1.5.1 No 23/06/2021
Inspiron 5408 1.7.2 No 23/06/2021
Inspiron 5409 1.5.1 No 23/06/2021
Inspiron 5410 2-in-1 2.1.0 23/06/2021
Inspiron 5501 1.7.2 No 23/06/2021
Inspiron 5502 1.5.1 No 23/06/2021
Inspiron 5508 1.7.2 No 23/06/2021
Inspiron 5509 1.5.1 No 23/06/2021
Inspiron 7300 1.8.1 No 23/06/2021
Inspiron 7300 2n1 1.3.0 No 23/06/2021
Inspiron 7306 2n1 1.5.1 No 23/06/2021
Inspiron 7400 1.8.1 No 23/06/2021
Inspiron 7500 1.8.0 No 23/06/2021
Inspiron 7500 2n1 - Black 1.3.0 No 23/06/2021
Inspiron 7500 2n1 - Silver 1.3.0 No 23/06/2021
Inspiron 7501 1.8.0 No 23/06/2021
Inspiron 7506 2n1 1.5.1 No 23/06/2021
Inspiron 7610 1.0.4 23/06/2021
Inspiron 7700 AIO 1.4.0 No 23/06/2021
Inspiron 7706 2n1 1.5.1 No 23/06/2021
Latitude 3120 1.1.0 No 23/06/2021
Latitude 3320 1.4.0 23/06/2021
Latitude 3410 1.9.0 No 23/06/2021
Latitude 3420 1.8.0 No 23/06/2021
Latitude 3510 1.9.0 No 23/06/2021
Latitude 3520 1.8.0 No 23/06/2021
Latitude 5310 1.7.0 No 24/06/2021
Latitude 5310 2 in 1 1.7.0 No 24/06/2021
Latitude 5320 1.7.1 21/06/2021
Latitude 5320 2-in-1 1.7.1 21/06/2021
Latitude 5410 1.6.0 No 23/06/2021
Latitude 5411 1.6.0 No 23/06/2021
Latitude 5420 1.8.0 22/06/2021
Latitude 5510 1.6.0 No 23/06/2021
Latitude 5511 1.6.0 No 23/06/2021
Latitude 5520 1.7.1 21/06/2021
Latitude 5521 1.3.0 A03 22/06/2021
Latitude 7210 2-in-1 1.7.0 No 23/06/2021
Latitude 7310 1.7.0 No 23/06/2021
Latitude 7320 1.7.1 23/06/2021
Latitude 7320 Detachable 1.4.0 A04 22/06/2021
Latitude 7410 1.7.0 No 23/06/2021
Latitude 7420 1.7.1 23/06/2021
Latitude 7520 1.7.1 23/06/2021
Latitude 9410 1.7.0 No 23/06/2021
Latitude 9420 1.4.1 23/06/2021
Latitude 9510 1.6.0 No 23/06/2021
Latitude 9520 1.5.2 23/06/2021
Latitude 5421 1.3.0 A03 22/06/2021
OptiPlex 3080 2.1.1 No 23/06/2021
OptiPlex 3090 UFF 1.2.0 23/06/2021
OptiPlex 3280 All-in-One 1.7.0 No 23/06/2021
OptiPlex 5080 1.4.0 No 23/06/2021
OptiPlex 5090 Tower 1.1.35 23/06/2021
OptiPlex 5490 AIO 1.3.0 24/06/2021
OptiPlex 7080 1.4.0 No 23/06/2021
OptiPlex 7090 Tower 1.1.35 23/06/2021
OptiPlex 7090 UFF 1.2.0 23/06/2021
OptiPlex 7480 All-in-One 1.7.0 No 23/06/2021
OptiPlex 7490 All-in-One 1.3.0 24/06/2021
OptiPlex 7780 All-in-One 1.7.0 No 23/06/2021
Precision 17 M5750 1.8.2 No 09/06/2021
Precision 3440 1.4.0 No 23/06/2021
Precision 3450 1.1.35 24/06/2021
Precision 3550 1.6.0 No 23/06/2021
Precision 3551 1.6.0 No 23/06/2021
Precision 3560 1.7.1 21/06/2021
Precision 3561 1.3.0 A03 22/06/2021
Precision 3640 1.6.2 No 23/06/2021
Precision 3650 MT 1.2.0 24/06/2021
Precision 5550 1.8.1 No 23/06/2021
Precision 5560 1.3.2 23/06/2021
Precision 5760 1.1.3 16/06/2021
Precision 7550 1.8.0 No 23/06/2021
Precision 7560 1.1.2 22/06/2021
Precision 7750 1.8.0 No 23/06/2021
Precision 7760 1.1.2 22/06/2021
Vostro 14 5410 2.1.0 A06 24/06/2021
Vostro 15 5510 2.1.0 A06 24/06/2021
Vostro 15 7510 1.0.4 23/06/2021
Vostro 3400 1.6.0 No 23/06/2021
Vostro 3500 1.6.0 No 23/06/2021
Vostro 3501 1.6.0 No 23/06/2021
Vostro 3681 2.4.0 No 23/06/2021
Vostro 3690 1.0.11 24/06/2021
Vostro 3881 2.4.0 No 23/06/2021
Vostro 3888 2.4.0 No 23/06/2021
Vostro 3890 1.0.11 24/06/2021
Vostro 5300 1.7.1 No 23/06/2021
Vostro 5301 1.8.1 No 23/06/2021
Vostro 5310 2.1.0 23/06/2021
Vostro 5401 1.7.2 No 23/06/2021
Vostro 5402 1.5.1 No 23/06/2021
Vostro 5501 1.7.2 No 23/06/2021
Vostro 5502 1.5.1 No 23/06/2021
Vostro 5880 1.4.0 No 23/06/2021
Vostro 5890 1.0.11 24/06/2021
Vostro 7500 1.8.0 No 23/06/2021
XPS  13 9305 1.0.8 No 23/06/2021
XPS 13 2in1  9310 2.3.3 No 23/06/2021
XPS 13 9310 3.0.0 No 24/06/2021
XPS 15 9500 1.8.1 No 23/06/2021
XPS 15 9510 1.3.2 23/06/2021
XPS 17 9700 1.8.2 No 09/06/2021
XPS 17 9710 1.1.3 15/06/2021

因應措施與緩解措施

Dell consiglia a tutti i clienti di eseguire non appena possibile l'aggiornamento alla versione più recente del BIOS del client Dell. I clienti che scelgono di non applicare immediatamente gli aggiornamenti del BIOS o coloro che per altri motivi al momento non sono in grado di farlo, è disponibile la seguente mitigazione.

BIOSConnect:

I clienti possono disabilitare la funzione BIOSConnect utilizzando una delle due opzioni seguenti:
Opzione 1: i clienti possono disabilitare BIOSConnect dalla pagina di configurazione del BIOS (F2).
Nota: i clienti possono trovare l'opzione BIOSConnect in interfacce del menu di configurazione del BIOS diverse a seconda del modello di piattaforma. Queste vengono riportate di seguito come Menu di configurazione del BIOS di tipo A e Menu di configurazione del BIOS di tipo B.
Menu di configurazione del BIOS di tipo A: F2 > Update, Recovery > BIOSConnect > Impostare su Off.
Menu di configurazione del BIOS di tipo B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Deselezionare l'opzione BIOSConnect.
 
Opzione 2: i clienti possono utilizzare lo strumento Remote System Management di Dell Command | Configure (DCC) per disabilitare le impostazioni BIOS di BIOSConnect.
 
Nota: Dell consiglia di non eseguire "BIOS Flash Update - Remote" da F12 finché il sistema non è aggiornato con una versione corretta del BIOS.

HTTPS Boot:
I clienti possono disabilitare la funzione HTTPS Boot utilizzando una delle due opzioni seguenti:
Opzione 1: i clienti possono disabilitare BIOSConnect dalla pagina di configurazione del BIOS (F2).
Menu di configurazione del BIOS di tipo A: F2 > Connection > HTTP(s) Boot > Impostare su Off.
Menu di configurazione del BIOS di tipo B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Deselezionare l'opzione BIOSConnect.
Opzione 2: i clienti possono utilizzare lo strumento Remote System Management di Dell Command | Configure (DCC) per disabilitare il supporto di HTTP Boot.

修訂歷史記錄

RevisioneDataDescrizione
1.024/06/2021Versione iniziale

感謝

Dell desidera ringraziare Mickey Shkatov e Jesse Michael di Eclypsium per aver segnalato questo problema.

相關資訊

受影響的產品

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

產品

Product Security Information
文章屬性
文章編號: 000188682
文章類型: Dell Security Advisory
上次修改時間: 15 9月 2021
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。