製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Dell iDRAC の BMC の実装における認証を回避される脆弱性

タイトル	Dell iDRAC の BMC の実装における認証を回避される脆弱性
概要	Dell iDRAC の BMC の実装には、認証を回避される、および任意の IPMI コマンドを実行される脆弱性が存在します。
想定される影響	第三者により、cipher suite 0 (別名 cipher zero) および任意のパスワードを使用されることで、認証を回避される、および任意の IPMI コマンドを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2013年7月8日0:00
登録日	2013年7月10日13:56
最終更新日	2013年10月28日14:24

CVSS2.0 : 危険
スコア	10
ベクター	AV:N/AC:L/Au:N/C:C/I:C/A:C

影響を受けるシステム

デル

Integrated Dell Remote Access Controller 6 BMC

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4783	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4783
National Vulnerability Database (NVD)
2	CVE-2013-4783	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4783

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
Dell
1	Dell response to US-CERT (United States Computer Emergency Readiness Team) TA13-207A: IPMI TechAlert	ftp://ftp.dell.com/Manuals/Common/integrated-dell-remote-access-cntrllr-6-for-monolithic-srvr-v1.95_FAQ2_en-us.pdf
2	How to check if IPMI Cipher 0 is off	http://en.community.dell.com/techcenter/systems-management/w/wiki/4929.how-to-check-if-ipmi-cipher-0-is-off.aspx
3	Integrated Dell Remote Access Controller 6	http://ja.community.dell.com/techcenter/b/weblog/archive/2011/03/31/quot-idrac6-quot.aspx
4	Top Page	http://www.dell.com/

変更履歴

No	変更内容	変更日
0	[2013年07月10日] 掲載 [2013年10月28日] ベンダ情報：デル (How to check if IPMI Cipher 0 is off) を追加ベンダ情報：デル (Dell response to US-CERT (United States Computer Emergency Readiness Team) TA13-207A: IPMI TechAlert) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-4783

概要	The Dell iDRAC6 with firmware 1.x before 1.92 and 2.x and 3.x before 3.42, and iDRAC7 with firmware before 1.23.23, allows remote attackers to bypass authentication and execute arbitrary IPMI commands by using cipher suite 0 (aka cipher zero) and an arbitrary password. NOTE: the vendor disputes the significance of this issue, stating "DRAC's are intended to be on a separate management network; they are not designed nor intended to be placed on or connected to the Internet."
公表日	2013年7月9日7:55
登録日	2021年1月26日15:44
最終更新日	2024年11月21日10:56

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:h:dell:idrac6_bmc::::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	ftp://ftp.dell.com/Manuals/Common/integrated-dell-remote-access-cntrllr-6-for-monolithic-srvr-v1.95_FAQ2_en-us.pdf
2	ftp://ftp.dell.com/Manuals/Common/integrated-dell-remote-access-cntrllr-6-for-monolithic-srvr-v1.95_FAQ2_en-us.pdf
3	http://en.community.dell.com/techcenter/systems-management/w/wiki/4929.how-to-check-if-ipmi-cipher-0-is-off.aspx
4	http://en.community.dell.com/techcenter/systems-management/w/wiki/4929.how-to-check-if-ipmi-cipher-0-is-off.aspx
5	http://fish2.com/ipmi/cipherzero.html
6	http://fish2.com/ipmi/cipherzero.html
7	http://osvdb.org/show/osvdb/93039
8	http://osvdb.org/show/osvdb/93039
9	http://www.metasploit.com/modules/auxiliary/scanner/ipmi/ipmi_cipher_zero
10	http://www.metasploit.com/modules/auxiliary/scanner/ipmi/ipmi_cipher_zero
11	http://www.wired.com/threatlevel/2013/07/ipmi/
12	http://www.wired.com/threatlevel/2013/07/ipmi/
13	https://lists.gnu.org/archive/html/freeipmi-devel/2013-02/msg00013.html
14	https://lists.gnu.org/archive/html/freeipmi-devel/2013-02/msg00013.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html