Patches HPE duas vulnerabilidades críticas e remotamente exploráveis

Views: 96
0 0
Read Time:2 Minute, 2 Second

A Hewlett Packard Enterprise lançou patches para duas vulnerabilidades críticas, uma identificada no StoreServ Management Console e outra afetando a BlueData EPIC Software Platform e a Plataforma de Contêineres Ezmeral.

O mais grave desses problemas foi identificado no HPE StoreServ Management Console (SSMC) 3.7.0.0 e poderia ser explorado para contornar remotamente as proteções de autenticação.

Rastreada como CVE-2020-7197, a vulnerabilidade apresenta uma pontuação cvss de 10.

O SSMC é um console baseado na Web fora do nó que fornece suporte para o gerenciamento de vários arrays. O aplicativo web SSMC é normalmente instalado em um servidor Linux ou Windows e é isolado de dados nos arrays gerenciados.

Um erro durante o processamento de solicitações de autenticação poderia permitir que um invasor contornasse o processo de autenticação e ganhasse acesso ao aplicativo.

O desvio de autenticação remota foi relatado por Elwood Buck do MindPoint Group. De acordo com a HPE, apenas o HPE 3PAR StoreServ Management e o Core Software Media antes do 3.7.0.0 são impactados.

Os usuários afetados são aconselhados a atualizar para o HPE 3PAR StoreServ Management Console 3.7.1.1 ou posterior para garantir que eles não sejam expostos a ataques. Na verdade, a HPE insta os clientes a instalar as atualizações disponíveis o mais rápido possível.

Rastreada como CVE-2020-7196 e com uma pontuação CVSS de 9,9, a segunda vulnerabilidade foi identificada na versão 4.0 e anterior da Plataforma de Software Ezmeral Ezmeral.

A questão, explica a HPE, é que ambos os aplicativos “usam um método inseguro de manipulação de senhas sensíveis do Kerberos que são suscetíveis a interceptação e/ou recuperação não autorizadas”.

Especificamente, ambas as plataformas mostrariam o kdc_admin_password no arquivo de origem do URL /bdswebui/assignusers/, expondo essas informações confidenciais a qualquer pessoa que tenha acesso ao arquivo.

A falha de segurança foi relatada por Hamoon Raphael Mehran da Early Warning Security.

Um patch bluedata EPIC Software Platform versão 4.0 foi lançado e está disponível mediante solicitação. No entanto, a HPE aconselha todos os clientes da Plataforma de Software EPIC 4.0 da BlueData ou hpe Ezmeral Container Platform 5.0 a migrarem para a Plataforma de Contêineres Ezmeral 5.1 ou posterior.

Na semana passada, a HPE também lançou patches para várias vulnerabilidades de alta gravidade em Switches Aruba CX,Aruba AirWave Glasse vários outros produtos Aruba.

FONTE: SECURITY WEEK

Previous post Matriz de Ameaças Kubernetes da Microsoft: Aqui está o que está faltando
Next post 7 passos para garantir uma transição CISO bem sucedida

Deixe um comentário