关键信息 漏洞描述 CWE: CWE-330: Use of Insufficiently Random Values - CVE-2014-8272 问题: Dell iDRAC IPMI v1.5 实现由于使用了不足够随机的会话ID值,导致任意命令注入漏洞。 原因: 会话ID值是可预测和有限的,增量分配而非随机分配。 影响 风险: 远程、未认证的攻击者可以在特权会话中注入任意命令。 解决方案 更新: 应用修补程序,移除IPMI v1.5代码。 - iDRAC6 modular - 版本3.65 - iDRAC6 monolithic - 版本1.98 - iDRAC7 - 版本1.57.57 限制访问: 仅允许来自受信主机和网络的连接。 CVSS度量 基线评分: 10 时间评分: 7.8 环境评分: 6.4 参考 提供的链接指向Dell的驱动下载页和Intel关于IPMI v2修订版的页面。 致谢 漏洞由IBM X-Force Research的Yong Chuan Koh报告。 其他信息 CVE ID: CVE-2014-8272 公开日期: 2014-12-18 首次发布日期: 2014-12-18 最后更新日期: 2014-12-18 15:44 UTC 文档版本: 29 供应商信息 影响的Dell iDRAC版本: - iDRAC6 modular, 3.60及以下版本 - iDRAC6 monolithic, 1.97及以下版本 - iDRAC7, 1.56.55及以下版本