漏洞

HPE 修补了两个关键的远程可利用漏洞

  • 浏览次数 15795
  • 喜欢 0
  • 评分 12345

Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中被确认,另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。

最严重的问题存在于HPE StoreServ管理控制台(SSMC)3.7.0.0中,CVE-2020-7197漏洞可以利用远程绕过身份验证保护,其CVSS评分为10。SSMC是基于节点的Web控制台,它为多个阵列的管理提供支持,通常安装在Linux或Windows服务器上,并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证,直接获得对应用程序的访问权限。

MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法,3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196,其CVSS评分为9.9。HPE解释说,问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码,导致密码容易受到未经授权的拦截和/或检索。”

HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外,HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。

 

 

 

消息来源:securityweek封面来自网络;译者:小江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。