Intelligent Platform Management Interface (IPMI) v1.5 プロトコルを実装している複数の Dell iDRAC 製品には、セッション管理の問題に起因するコマンドインジェクションの脆弱性が存在します。 不十分なランダム値の使用 (CWE-330) - CVE-2014-8272 複数の Dell iDRAC 製品 (iDRAC6 modular、iDRAC6 monolithic、iDRAC7 を含む) における IPMI v1.5 プロトコルの実装で使われているセッション ID は、乱数としての品質が悪く予測可能となっています。 CWE-330: Use of Insufficiently Random Values http://cwe.mitre.org/data/definitions/330.html ランダムな値が使われるべきセッション ID の値が規則的に割り当てられるため、Dell iDRAC にログインしたユーザによって、次に使われるセッション ID が推測される可能性があります。また、セッション ID として使われる値の範囲が小さいため、ブルートフォース攻撃による推測も容易になっています。 Dell Computer Corporation, Inc. Information for VU#843044 (http://www.kb.cert.org/vuls/id/BLUU-9RDQHM) では、Dell は次のように述べています。 　　The legacy nature of the IPMI 1.5 protocol exposes several weaknesses in 　　the overall design and implementation. These are: 　　Use of an insecure (unencrypted) channel for communication. 　　Poor password management including limited password length. 　　Limited session management capability. 　　These weaknesses are inherent in the overall design and implementation 　　of the protocol, therefore support for the IPMI 1.5 version of the protocol 　　has been permanently removed. This means that it will not be possible to 　　reactivate or enable it in an operational setting.

[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。このアップデートにより、IPMI v1.5 を実装するコードは削除されます。 　　iDRAC6 modular - version 3.65 　　http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=61W8X 　　iDRAC6 monolithic - version 1.98 　　http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=78M0V 　　 　　iDRAC7 - version 1.57.57 　　http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=XH6FX