跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

DSA-2021-106: Sikkerhetsoppdateringer for Dell-klientplattformer for flere sikkerhetsproblemer i BIOSConnect og HTTPS-oppstartsfunksjonene som en del av Dell-klient-BIOS

摘要: Dell gir ut utbedringer for flere sikkerhetsproblemer som berører funksjonene for BIOSConnect og HTTPS-oppstart.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

影響

High

詳細資料

CVE-er for rettighetsbeskyttet kode Beskrivelse CVSS-grunnpoengsum CVSS Vector-streng
CVE-2021-21571 Dell UEFI BIOS https-stabel som utnyttes av Dell BIOSConnect-funksjonen, og Dell HTTPS oppstartsfunksjonen inneholder et problem med uriktig sertifikatsvalidering. En ekstern, ikke-autentisert angriper kan utnytte dette sikkerhetsproblemet ved hjelp av et mellommannsangrep som kan føre til tjenestenekt og forfalsking av nyttelast. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funksjonen inneholder et sikkerhetsproblem med bufferoverflyt. En autentisert, ondsinnet administratorbruker med lokal tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å kjøre vilkårlig kode og omgå UEFI-begrensningene. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse av Dell-BIOSConnect- og HTTPS-oppstartsfunksjonene:
  • Dell BIOSConnect-funksjonen er en preboot-løsning fra Dell som brukes til å oppdatere systemets BIOS og gjenopprette operativsystemet (OS) ved hjelp av SupportAssist OS Recovery på Dell-klientplattformer. Merk: BIOSConnect krever en fysisk tilstedeværende bruker for å starte denne funksjonen. Bare et delsett av plattformer med BIOSConnect-funksjonen påvirkes. Se tabellen under Tilleggsinformasjon nedenfor for de berørte plattformene.
  • Dell HTTPS-oppstartsfunksjonen er en utvidelse for UEFI-oppstartsspesifikasjonene for å starte opp fra en HTTP(S)-server. Merk: Denne funksjonen er ikke konfigurert som standard og krever en fysisk tilstedeværende bruker med administratorrettigheter for lokale operativsystemer for å konfigurere. I tillegg er det nødvendig med en fysisk tilstedeværende bruker for å starte funksjonen når den brukes sammen med trådløse nettverk. Ikke alle plattformer inneholder HTTPS-oppstartsfunksjonen. Se tabellen under Tilleggsinformasjon nedenfor for å finne en liste over påvirkede plattformer.
De ovenstående sikkerhetsproblemene ble rapportert som en kjede av sikkerhetsproblemer. Den kumulative poengsummen for sikkerhetsproblemkjeden er: 8.3 Høy CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Ytterligere trinn kreves for å utnytte kjeden:
  • For å kunne utnytte sikkerhetsproblemet i BIOSConnect må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å bruke BIOSConnect-funksjonen.
  • For å kunne utnytte sikkerhetsproblemet i HTTPS-oppstart, må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å endre oppstartsrekkefølgen og bruke HTTPS-oppstartsfunksjonen.
I tillegg til å bruke de nye utbedringene, kan kundene videre beskytte seg ved å følge beste praksis for sikkerhet ved bare å bruke sikrede nettverk og hindre uautorisert lokal og fysisk tilgang til enheter. Kundene bør også aktivere funksjoner for plattformsikkerhet som Secure Boot (aktivert som standard for Dell-plattformer med Windows) og administratorpassord for BIOS for ekstra beskyttelse.

Merk: Hvis Secure Boot er deaktivert, kan det påvirke den potensielle alvorlighetsgraden som er forbundet med sikkerhetsproblemet i CVE-2021-21571.
CVE-er for rettighetsbeskyttet kode Beskrivelse CVSS-grunnpoengsum CVSS Vector-streng
CVE-2021-21571 Dell UEFI BIOS https-stabel som utnyttes av Dell BIOSConnect-funksjonen, og Dell HTTPS oppstartsfunksjonen inneholder et problem med uriktig sertifikatsvalidering. En ekstern, ikke-autentisert angriper kan utnytte dette sikkerhetsproblemet ved hjelp av et mellommannsangrep som kan føre til tjenestenekt og forfalsking av nyttelast. 5,9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
Dell BIOSConnect-funksjonen inneholder et sikkerhetsproblem med bufferoverflyt. En autentisert, ondsinnet administratorbruker med lokal tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å kjøre vilkårlig kode og omgå UEFI-begrensningene. 7,2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Beskrivelse av Dell-BIOSConnect- og HTTPS-oppstartsfunksjonene:
  • Dell BIOSConnect-funksjonen er en preboot-løsning fra Dell som brukes til å oppdatere systemets BIOS og gjenopprette operativsystemet (OS) ved hjelp av SupportAssist OS Recovery på Dell-klientplattformer. Merk: BIOSConnect krever en fysisk tilstedeværende bruker for å starte denne funksjonen. Bare et delsett av plattformer med BIOSConnect-funksjonen påvirkes. Se tabellen under Tilleggsinformasjon nedenfor for de berørte plattformene.
  • Dell HTTPS-oppstartsfunksjonen er en utvidelse for UEFI-oppstartsspesifikasjonene for å starte opp fra en HTTP(S)-server. Merk: Denne funksjonen er ikke konfigurert som standard og krever en fysisk tilstedeværende bruker med administratorrettigheter for lokale operativsystemer for å konfigurere. I tillegg er det nødvendig med en fysisk tilstedeværende bruker for å starte funksjonen når den brukes sammen med trådløse nettverk. Ikke alle plattformer inneholder HTTPS-oppstartsfunksjonen. Se tabellen under Tilleggsinformasjon nedenfor for å finne en liste over påvirkede plattformer.
De ovenstående sikkerhetsproblemene ble rapportert som en kjede av sikkerhetsproblemer. Den kumulative poengsummen for sikkerhetsproblemkjeden er: 8.3 Høy CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Ytterligere trinn kreves for å utnytte kjeden:
  • For å kunne utnytte sikkerhetsproblemet i BIOSConnect må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å bruke BIOSConnect-funksjonen.
  • For å kunne utnytte sikkerhetsproblemet i HTTPS-oppstart, må en ondsinnet aktør utføre flere trinn før en vellykket utnyttelse, herunder: kompromittere en brukers nettverk, anskaffe et sertifikat som er klarert av en av de innebygde sertifiseringsinstansene i en av https-stablene i Dell UEFI BIOS, og vente på en bruker som er fysisk til stede på systemet for å endre oppstartsrekkefølgen og bruke HTTPS-oppstartsfunksjonen.
I tillegg til å bruke de nye utbedringene, kan kundene videre beskytte seg ved å følge beste praksis for sikkerhet ved bare å bruke sikrede nettverk og hindre uautorisert lokal og fysisk tilgang til enheter. Kundene bør også aktivere funksjoner for plattformsikkerhet som Secure Boot (aktivert som standard for Dell-plattformer med Windows) og administratorpassord for BIOS for ekstra beskyttelse.

Merk: Hvis Secure Boot er deaktivert, kan det påvirke den potensielle alvorlighetsgraden som er forbundet med sikkerhetsproblemet i CVE-2021-21571.
Dell Technologies 建議所有客戶不僅要參考 CVSS 基本分數,也要將可能會影響與特定安全漏洞相關之潛在嚴重性的所有相關暫時和環境分數納入考量。

受影響的產品與補救措施

CVE-2021-21573 og CVE-2021-21574 ble utbedret på Dell-bakservere i BIOSConnect-relaterte komponenter 28. mai 2021 og krever ikke at kunden gjør noe mer.

CVE-2021-21571 og CVE-2021-21572 krever Dell klient-BIOS-oppdateringer for å løse sikkerhetsproblemene. Se tabellen under Tilleggsinformasjon for å fastslå hvilken versjon av den utbedrede Dell klient-BIOS-en som skal brukes på systemet ditt. Det finnes flere måter å oppdatere en Dell klient-BIOS på. Hvis du vanligvis bruker BIOSConnect til å oppdatere BIOS, anbefaler Dell at du bruker en annen metode for å aktivere BIOS-oppdateringer, for eksempel: For de som ikke kan bruke BIOS-oppdateringer umiddelbart, har Dell også lagd en midlertidig løsning for å deaktivere funksjonene for BIOSConnect- og HTTPS-oppstart. Se avsnittet nedenfor.
CVE-2021-21573 og CVE-2021-21574 ble utbedret på Dell-bakservere i BIOSConnect-relaterte komponenter 28. mai 2021 og krever ikke at kunden gjør noe mer.

CVE-2021-21571 og CVE-2021-21572 krever Dell klient-BIOS-oppdateringer for å løse sikkerhetsproblemene. Se tabellen under Tilleggsinformasjon for å fastslå hvilken versjon av den utbedrede Dell klient-BIOS-en som skal brukes på systemet ditt. Det finnes flere måter å oppdatere en Dell klient-BIOS på. Hvis du vanligvis bruker BIOSConnect til å oppdatere BIOS, anbefaler Dell at du bruker en annen metode for å aktivere BIOS-oppdateringer, for eksempel: For de som ikke kan bruke BIOS-oppdateringer umiddelbart, har Dell også lagd en midlertidig løsning for å deaktivere funksjonene for BIOSConnect- og HTTPS-oppstart. Se avsnittet nedenfor.

Følgende er en liste over berørte produkter og utgivelsesdatoer og minimumsversjoner av BIOS som skal brukes:   
 

Produkt BIOS-oppdateringsversjon
(eller høyere)
Støtter BIOSConnect Støtter HTTP(s)-oppstart Utgivelsesdato (MM/DD/ÅÅÅÅ)
forventet lansering (måned/YYYY)
Alienware m15 R6 1.3.3 Ja Ja 21.06.2021
ChengMing 3990 1.4.1 Ja Nei 23.06.2021
ChengMing 3991 1.4.1 Ja Nei 23.06.2021
Dell G15 5510 0.4.1 Ja Ja 21.06.2021
Dell G15 5511 1.3.3 Ja Ja 21.06.2021
Dell G3 3500 0.9.1 Ja Nei 24.06.2021
Dell G5 5500 0.9.1 Ja Nei 24.06.2021
Dell G7 7500 0.9.1 Ja Nei 23.06.2021
Dell G7 7700 0.9.1 Ja Nei 23.06.2021
Inspiron 14 5418 2.1.0 A06 Ja Ja 24.06.2021
Inspiron 15 5518 2.1.0 A06 Ja Ja 24.06.2021
Inspiron 15 7510 1.4.0 Ja Ja 23.06.2021
Inspiron 3501 1.6.0 Ja Nei 23.06.2021
Inspiron 3880 1.4.1 Ja Nei 23.06.2021
Inspiron 3881 1.4.1 Ja Nei 23.06.2021
Inspiron 3891 1.0.11 Ja Ja 24.06.2021
Inspiron 5300 1.7.1 Ja Nei 23.06.2021
Inspiron 5301 1.8.1 Ja Nei 23.06.2021
Inspiron 5310 2.1.0 Ja Ja 23.06.2021
Inspiron 5400 2-i-1-enhet 1.7.0 Ja Nei 23.06.2021
Inspiron 5400 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 5401 2.7.1 Ja Nei 23.06.2021
Inspiron 5401 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 5402 1.5.1 Ja Nei 23.06.2021
Inspiron 5406 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 5408 2.7.1 Ja Nei 23.06.2021
Inspiron 5409 1.5.1 Ja Nei 23.06.2021
2-i-1-enheten Inspiron 5410 2.1.0 Ja Ja 23.06.2021
Inspiron 5501 2.7.1 Ja Nei 23.06.2021
Inspiron 5502 1.5.1 Ja Nei 23.06.2021
Inspiron 5508 2.7.1 Ja Nei 23.06.2021
Inspiron 5509 1.5.1 Ja Nei 23.06.2021
Inspiron 7300 1.8.1 Ja Nei 23.06.2021
Inspiron 7300 2-i-1-enhet 1.0.3 Ja Nei 23.06.2021
Inspiron 7306 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 7400 1.8.1 Ja Nei 23.06.2021
Inspiron 7500 1.8.0 Ja Nei 23.06.2021
Inspiron 7500 2n1 – Svart 1.0.3 Ja Nei 23.06.2021
Inspiron 7500 2n1 – Sølv 1.0.3 Ja Nei 23.06.2021
Inspiron 7501 1.8.0 Ja Nei 23.06.2021
Inspiron 7506 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Inspiron 7610 1.4.0 Ja Ja 23.06.2021
Inspiron 7700 AIO 0.4.1 Ja Nei 23.06.2021
Inspiron 7706 2-i-1-enhet 1.5.1 Ja Nei 23.06.2021
Latitude 3120 1.1.0 Ja Nei 23.06.2021
Latitude 3320 0.4.1 Ja Ja 23.06.2021
Latitude 3410 0.9.1 Ja Nei 23.06.2021
Latitude 3420 1.8.0 Ja Nei 23.06.2021
Latitude 3510 0.9.1 Ja Nei 23.06.2021
Latitude 3520 1.8.0 Ja Nei 23.06.2021
Latitude 5310 1.7.0 Ja Nei 24.06.2021
Latitude 5310 2-i-1 1.7.0 Ja Nei 24.06.2021
Latitude 5320 1.7.1 Ja Ja 21.06.2021
Latitude 5320 2-i-1 1.7.1 Ja Ja 21.06.2021
Latitude 5410 1.6.0 Ja Nei 23.06.2021
Latitude 5411 1.6.0 Ja Nei 23.06.2021
Latitude 5420 1.8.0 Ja Ja 22.06.2021
Latitude 5510 1.6.0 Ja Nei 23.06.2021
Latitude 5511 1.6.0 Ja Nei 23.06.2021
Latitude 5520 1.7.1 Ja Ja 21.06.2021
Latitude 5521 1.3.0 A03 Ja Ja 22.06.2021
Latitude 7210 2-i-1 1.7.0 Ja Nei 23.06.2021
Latitude 7310 1.7.0 Ja Nei 23.06.2021
Latitude 7320 1.7.1 Ja Ja 23.06.2021
Løs Latitude 7320-PC 1.4.0 A04 Ja Ja 22.06.2021
Latitude 7410 1.7.0 Ja Nei 23.06.2021
Latitude 7420 1.7.1 Ja Ja 23.06.2021
Latitude 7520 1.7.1 Ja Ja 23.06.2021
Latitude 9410 1.7.0 Ja Nei 23.06.2021
Latitude 9420 1.4.1 Ja Ja 23.06.2021
Latitude 9510 1.6.0 Ja Nei 23.06.2021
Latitude 9520 2.5.1 Ja Ja 23.06.2021
Latitude 5421 1.3.0 A03 Ja Ja 22.06.2021
OptiPlex 3080 2.1.1 Ja Nei 23.06.2021
OptiPlex 3090 UFF 1.2.0 Ja Ja 23.06.2021
OptiPlex 3280 All-in-One 1.7.0 Ja Nei 23.06.2021
OptiPlex 5080 0.4.1 Ja Nei 23.06.2021
OptiPlex 5090 tårn 1.1.35 Ja Ja 23.06.2021
OptiPlex 5490 AIO 1.0.3 Ja Ja 24.06.2021
OptiPlex 7080 0.4.1 Ja Nei 23.06.2021
OptiPlex 7090 tårn 1.1.35 Ja Ja 23.06.2021
OptiPlex 7090 UFF 1.2.0 Ja Ja 23.06.2021
OptiPlex 7480 All-in-One 1.7.0 Ja Nei 23.06.2021
OptiPlex 7490 All-in-One 1.0.3 Ja Ja 24.06.2021
OptiPlex 7780 All-in-One 1.7.0 Ja Nei 23.06.2021
Precision 17 M5750 1.8.2 Ja Nei 09.06.2021
Precision 3440 0.4.1 Ja Nei 23.06.2021
Precision 3450 1.1.35 Ja Ja 24.06.2021
Precision 3550 1.6.0 Ja Nei 23.06.2021
Precision 3551 1.6.0 Ja Nei 23.06.2021
Precision 3560 1.7.1 Ja Ja 21.06.2021
Precision 3561 1.3.0 A03 Ja Ja 22.06.2021
Precision 3640 1.6.2 Ja Nei 23.06.2021
Precision 3650 MT 1.2.0 Ja Ja 24.06.2021
Precision 5550 1.8.1 Ja Nei 23.06.2021
Precision 5560 1.2.3 Ja Ja 23.06.2021
Precision 5760 1.1.3 Ja Ja 16.06.2021
Precision 7550 1.8.0 Ja Nei 23.06.2021
Precision 7560 1.1.2 Ja Ja 22.06.2021
Precision 7750 1.8.0 Ja Nei 23.06.2021
Precision 7760 1.1.2 Ja Ja 22.06.2021
Vostro 14 5410 2.1.0 A06 Ja Ja 24.06.2021
Vostro 15 5510 2.1.0 A06 Ja Ja 24.06.2021
Vostro 15 7510 1.4.0 Ja Ja 23.06.2021
Vostro 3400 1.6.0 Ja Nei 23.06.2021
Vostro 3500 1.6.0 Ja Nei 23.06.2021
Vostro 3501 1.6.0 Ja Nei 23.06.2021
Vostro 3681 2.4.0 Ja Nei 23.06.2021
Vostro 3690 1.0.11 Ja Ja 24.06.2021
Vostro 3881 2.4.0 Ja Nei 23.06.2021
Vostro 3888 2.4.0 Ja Nei 23.06.2021
Vostro 3890 1.0.11 Ja Ja 24.06.2021
Vostro 5300 1.7.1 Ja Nei 23.06.2021
Vostro 5301 1.8.1 Ja Nei 23.06.2021
Vostro 5310 2.1.0 Ja Ja 23.06.2021
Vostro 5401 2.7.1 Ja Nei 23.06.2021
Vostro 5402 1.5.1 Ja Nei 23.06.2021
Vostro 5501 2.7.1 Ja Nei 23.06.2021
Vostro 5502 1.5.1 Ja Nei 23.06.2021
Vostro 5880 0.4.1 Ja Nei 23.06.2021
Vostro 5890 1.0.11 Ja Ja 24.06.2021
Vostro 7500 1.8.0 Ja Nei 23.06.2021
XPS 13 9305 1.8.0 Ja Nei 23.06.2021
XPS 13 2-i-1  9310 2.3.3 Ja Nei 23.06.2021
XPS 13 9310 3.0.0 Ja Nei 24.06.2021
XPS 15 9500 1.8.1 Ja Nei 23.06.2021
XPS 15 9510 1.2.3 Ja Ja 23.06.2021
XPS 17 9700 1.8.2 Ja Nei 09.06.2021
XPS 17 9710 1.1.3 Ja Ja 15.06.2021

因應措施與緩解措施

Dell anbefaler at alle kunder oppdaterer til den neste Dell-klient-BIOS-versjonen ved første anledning. Kunder som velger å ikke bruke BIOS-oppdateringer med en gang, eller som på annen måte ikke kan gjøre det nå, bør bruke løsningen nedenfor.

BIOSConnect:

Kunder kan deaktivere BIOSConnect-funksjonen ved hjelp av ett av to alternativer:
Alternativ 1: Kunder kan deaktivere BIOSConnect fra BIOS-konfigurasjonsiden (F2).
Merk: Kunden kan finne BIOSConnect-alternativet under ulike grensesnitt for BIOS-konfigurasjonsmenyen, avhengig av plattformmodellen. Disse vises nedenfor som BIOS-konfigurasjonsmeny Type A og BIOS-konfigurasjonsmeny Type B.
BIOS-konfigurasjonsmeny Type A: F2 > Update, Recovery > BIOSConnect > Slå av.
BIOS-konfigurasjonsmeny Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Fjern avkrysningen ved BIOSConnect-alternativet.
 
Alternativ 2: Kunder kan gjøre bruk av det eksterne verktøyet for systemadministrasjon i Dell Command | Configure (DCC) for å deaktivere BIOSConnect BIOS-innstillinger.
 
Merk: Dell anbefaler at kunder ikke kjører «BIOS Flash Update – Remote» fra F12 før systemet er oppdatert med en utbedret versjon av BIOS.

HTTPS-oppstart:
Kunder kan deaktivere HTTPS-oppstartsfunksjonen ved hjelp av ett av to alternativer:
Alternativ 1: Kunder kan deaktivere BIOSConnect fra BIOS-konfigurasjonsiden (F2).
BIOS-konfigurasjonsmeny Type A: F2 > Connection > HTTP(s) Boot > Slå av.
BIOS-konfigurasjonsmeny Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Fjern avkrysningen ved BIOSConnect-alternativet.
Alternativ 2: Kunder kan gjøre bruk av det eksterne verktøyet for systemadministrasjon i Dell Command | Configure (DCC) for å deaktivere støtte for HTTP-oppstart.

修訂歷史記錄

RevisjonDatoBeskrivelse
1.024.06.2021Første lansering

感謝

Dell ønsker å takke Mickey Shkatov og Jesse Michael i Eclypsium for at de rapporterte dette problemet.

相關資訊

受影響的產品

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

產品

Product Security Information
文章屬性
文章編號: 000188682
文章類型: Dell Security Advisory
上次修改時間: 15 9月 2021
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。