A Hewlett Packard Enterprise lançou patches para duas vulnerabilidades críticas, uma identificada no StoreServ Management Console e outra afetando a BlueData EPIC Software Platform e a Plataforma de Contêineres Ezmeral.
O mais grave desses problemas foi identificado no HPE StoreServ Management Console (SSMC) 3.7.0.0 e poderia ser explorado para contornar remotamente as proteções de autenticação.
Rastreada como CVE-2020-7197, a vulnerabilidade apresenta uma pontuação cvss de 10.
O SSMC é um console baseado na Web fora do nó que fornece suporte para o gerenciamento de vários arrays. O aplicativo web SSMC é normalmente instalado em um servidor Linux ou Windows e é isolado de dados nos arrays gerenciados.
Um erro durante o processamento de solicitações de autenticação poderia permitir que um invasor contornasse o processo de autenticação e ganhasse acesso ao aplicativo.
O desvio de autenticação remota foi relatado por Elwood Buck do MindPoint Group. De acordo com a HPE, apenas o HPE 3PAR StoreServ Management e o Core Software Media antes do 3.7.0.0 são impactados.
Os usuários afetados são aconselhados a atualizar para o HPE 3PAR StoreServ Management Console 3.7.1.1 ou posterior para garantir que eles não sejam expostos a ataques. Na verdade, a HPE insta os clientes a instalar as atualizações disponíveis o mais rápido possível.
Rastreada como CVE-2020-7196 e com uma pontuação CVSS de 9,9, a segunda vulnerabilidade foi identificada na versão 4.0 e anterior da Plataforma de Software Ezmeral Ezmeral.
A questão, explica a HPE, é que ambos os aplicativos “usam um método inseguro de manipulação de senhas sensíveis do Kerberos que são suscetíveis a interceptação e/ou recuperação não autorizadas”.
Especificamente, ambas as plataformas mostrariam o kdc_admin_password no arquivo de origem do URL /bdswebui/assignusers/, expondo essas informações confidenciais a qualquer pessoa que tenha acesso ao arquivo.
A falha de segurança foi relatada por Hamoon Raphael Mehran da Early Warning Security.
Um patch bluedata EPIC Software Platform versão 4.0 foi lançado e está disponível mediante solicitação. No entanto, a HPE aconselha todos os clientes da Plataforma de Software EPIC 4.0 da BlueData ou hpe Ezmeral Container Platform 5.0 a migrarem para a Plataforma de Contêineres Ezmeral 5.1 ou posterior.
Na semana passada, a HPE também lançou patches para várias vulnerabilidades de alta gravidade em Switches Aruba CX,Aruba AirWave Glasse vários outros produtos Aruba.
FONTE: SECURITY WEEK