【活用ガイド】

JVNDB-2014-007308

複数の Dell iDRAC 製品にセッション管理に関する脆弱性

概要

Intelligent Platform Management Interface (IPMI) v1.5 プロトコルを実装している複数の Dell iDRAC 製品には、セッション管理の問題に起因するコマンドインジェクションの脆弱性が存在します。

不十分なランダム値の使用 (CWE-330) - CVE-2014-8272
複数の Dell iDRAC 製品 (iDRAC6 modular、iDRAC6 monolithic、iDRAC7 を含む) における IPMI v1.5 プロトコルの実装で使われているセッション ID は、乱数としての品質が悪く予測可能となっています。

CWE-330: Use of Insufficiently Random Values
http://cwe.mitre.org/data/definitions/330.html

ランダムな値が使われるべきセッション ID の値が規則的に割り当てられるため、Dell iDRAC にログインしたユーザによって、次に使われるセッション ID が推測される可能性があります。また、セッション ID として使われる値の範囲が小さいため、ブルートフォース攻撃による推測も容易になっています。

Dell Computer Corporation, Inc. Information for VU#843044 (http://www.kb.cert.org/vuls/id/BLUU-9RDQHM) では、Dell は次のように述べています。

  The legacy nature of the IPMI 1.5 protocol exposes several weaknesses in
  the overall design and implementation. These are:
  Use of an insecure (unencrypted) channel for communication.
  Poor password management including limited password length.
  Limited session management capability.

  These weaknesses are inherent in the overall design and implementation
  of the protocol, therefore support for the IPMI 1.5 version of the protocol
  has been permanently removed. This means that it will not be possible to
  reactivate or enable it in an operational setting.
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


インテル
  • IPMI 1.5
デル
  • iDRAC6 MODULAR バージョン 3.60 およびそれ以前
  • iDRAC6 Monolithic ファームウェア バージョン 1.97 およびそれ以前
  • iDRAC7 Module バージョン 1.56.55 およびそれ以前

想定される影響

遠隔の第三者によって、Dell iDRAC に接続するセッションを乗っ取られ、任意のコマンドを実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。このアップデートにより、IPMI v1.5 を実装するコードは削除されます。

  iDRAC6 modular - version 3.65
  http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=61W8X

  iDRAC6 monolithic - version 1.98
  http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=78M0V
  
  iDRAC7 - version 1.57.57
  http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=XH6FX
ベンダ情報

インテル デル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-8272
参考情報

  1. JVN : JVNVU#90515133
  2. National Vulnerability Database (NVD) : CVE-2014-8272
  3. US-CERT Vulnerability Note : Dell Computer Corporation, Inc. Information for VU#843044
  4. US-CERT Vulnerability Note : VU#843044
更新履歴

  • [2014年12月22日]
      掲載

公表日2014/12/18
登録日2014/12/22
最終更新日2014/12/22