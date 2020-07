Seit letzter Woche hat Dell insgesamt vier Security Advisories veröffentlicht, die sich mit im Unternehmensbereich eingesetzten EMC-Produkten befassen. Sie widmen sich Sicherheitslücken im Integrated Dell Remote Access Controller 9 (iDRAC9), in OpenManage Enterprise (OME), in der Cloud Tiering Appliance (CTA) sowie in mehreren EMC Server-Modellen. In fast allen Fällen stehen Sicherheitsupdates bereit, die so zeitnah wie möglich eingespielt werden sollten.

"Critical": Zahlreiche Lücken in CTA

Das Advisory zur Cloud Tiering Appliance ist als "Critical" gekennzeichnet. Es enthält eine lange Liste von CVE-Nummern mit unterschiedlichen CVSS-Scores, die sich durchweg auf Komponenten von Drittanbietern beziehen. Gegen alle diese Lücken abgesichert sei die Dell EMC Cloud Tiering Appliance (ab) Version 13.0.0.0.16. Der Download-Link ist dem Reiter "Empfehlungen" im Security-Advisory zu entnehmen.

"High": iDRAC9 und OME remote angreifbar

In iDRAC9 vor Version 4.20.20.20 und OME vor Version 3.4 steckt je eine Sicherheitslücke mit "High"-Einstufung. Beide sind bei vorheriger Authentifizierung aus der Ferne ausnutzbar.

Zum Ausnutzen der iDRAC-Lücke CVE-2020-5366 reichen geringe Privilegien aus, um Eingabeparameter zu manipulieren und sich so Zugriff auf beliebige Dateien zu verschaffen. Ein Exploit von CVE-2020-5370 in OME erfordert hohe Privilegien und kann unter bestimmten Voraussetzungen das Überschreiben beliebiger Dateien und schlimmstenfalls das Verursachen eines Denial-of-Service oder weitere unbefugte Aktionen ermöglichen.

Weitere Details und Update-Links nennen die Advisories:

"Medium": CPU-Lücken-Patches für EMC Server

Das vierte Advisory nennt spezifische EMC Server, die demnächst ein BIOS-Update gegen CVE-2020-0543 erhalten sollen. Es handelt sich dabei um den Angriff "Special Register Buffer Data Sampling (SRBDS)", den wir detailliert in einem früheren heise online-Artikel beschrieben haben.

Die Modelle T140, T340, R240, R340 und NX440 erhalten laut Advisory im Juli ein BIOS-Update auf die BIOS-Version 2.3.5, wobei das Datum noch nicht näher spezifiziert wurde. Für T130, T330, R230, R330 und NX430 steht die abgesicherte Version 2.10.1 schon bereit; Details nennt auch hier das Advisory.

(ovw)