HPE 修补了两个关键的远程可利用漏洞
文章来源:安全圈
Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中被确认,另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。
最严重的问题存在于HPE StoreServ管理控制台(SSMC)3.7.0.0中,CVE-2020-7197漏洞可以利用远程绕过身份验证保护,其CVSS评分为10。SSMC是基于节点的Web控制台,它为多个阵列的管理提供支持,通常安装在Linux或Windows服务器上,并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证,直接获得对应用程序的访问权限。
MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法,3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。
在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196,其CVSS评分为9.9。HPE解释说,问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码,导致密码容易受到未经授权的拦截和/或检索。”
HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外,HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。
推荐阅读
*气哭!博彩网输掉20多万,又被“专业黑客”骗走7.9万元!