Argitalpen data: 2019/07/02
Garrantzia: Handia
Kaltetutako baliabideak:
- Dell EMC iDRAC6, 2.92 baino lehenagoko bertsioak;
- Dell EMC iDRAC7/iDRAC8, 2.61.60.60 baino lehenagoko bertsioak;
- Dell EMC iDRAC9, ondoren aipatutakoak baino lehenagoko bertsioak;
- 3.21.24.22;
- 3.21.25.22;
- 3.21.26.22;
- 3.22.22.22;
- 3.23.23.23;
- 3.24.24.24;
- 3.30.30.30.
Azalpena:
Dell EMCk kritikotasun altuko hiru ahultasun aurkitu ditu iDRAC familiako hainbat produktutan. Urruneko erasotzaile batek kode arbitrarioa exekuta lezake, autentifikazioa saihestu edo sistema blokeatu.
Konponbidea:
- iDRAC9ren firmwarea honako bertsioetara eguneratzea:
- 3.20.21.20;
- 3.21.24.22;
- 3.21.25.22;
- 3.21.26.22;
- 3.22.22.22;
- 3.23.23.23;
- 3.24.24.24;
- 3.30.30.30.
- iDRAC8 eta iDRAC7ren firmwarea 2.61.60.60 bertsiora eguneratzea.
- iDRAC6ren firmwarea 2.92 bertsiora eguneratzea.
Xehetasuna:
- Ahultasun baten jatorria pilan oinarritutako bufferraren gainezkatzea da. Urruneko erasotzaile batek webserver pribilegioekin kode arbitrarioa exekuta lezake edo sistema gelditu. Ahultasun horretarako CVE-2019-3705 identifikatzailea erabili da.
- Ahultasun baten jatorria da bereziki sortutako datuen bidalketa iDRACen web interfazera. Urruneko erasotzaile batek autentifikazioaren saihestea egin lezake sisteman. Ahultasun horretarako CVE-2019-3706 identifikatzailea erabili da.
- Ahultasun baten jatorria da bereziki sortutako sarrera datuen bidalketa WS-MANen interfazera. Urruneko erasotzaile batek autentifikazioaren saihestea egin lezake sisteman. Ahultasun horretarako CVE-2019-3707 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna