Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos HPE

Fecha de publicación: 21/09/2018

Importancia: Alta

Recursos afectados:

  • HP XP7 Automation Director Software de 8.5.2-02 a antes de 8.6.1-00.
  • HPE XP7 Automation Director Software de 8.5.2-02 a antes de 8.6.1-00 para los modelos 1TB 101-250TB LTU, 1TB 251-500TB LTU, 1TB Enterprise LTU, 1TB Over 500TB LTU, 1TB-day Meter LTU, Base LTU y Unlimited LTU.
  • Todas las licencias de HPE XP P9000 Command View Advanced Edition Software.
  • Todas los HPE XP7 Command View Advanced Edition Suite.
  • HPE 3PAR Service Processors - anterior a SP-4.4.0.GA-110(MU7).
  • HP ConvergedSystem 700 Virtualization 2.0 VMware Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
  • HP ConvergedSystem 700x for VMware Solution Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
  • HP ConvergedSystem 700x v1.1 VMware Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
  • HPE enhanced Internet Usage Manager (eIUM) 9.0 FP01 - Incluyendo versiones específicas del cliente basadas en la versión 9.0 FP01.

Descripción:

Se han detectado varias vulnerabilidades en diversos productos de HPE:

  • En HPE StorageWorks XP7 Automation Director podría provocar bypass de autenticación local y remota.
  • En HPE XP P9000 Command View Advanced Edition podría provocar acceso sin autorización a información sensible, tanto local como remota.
  • En HPE Command View Advanced Edition podría provocar bypass de restricción local y remota.
  • En HPE Command View Advanced Edition usando JDK podría provocar bypass de autenticación local y remota.
  • Múltiples vulnerabilidades en HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor.
  • En HPE Internet Usage Manager mejorado podría provocar modificación remota de archivos arbitrarios.

Solución:

  • Para HPE StorageWorks XP7 Automation Director actualizar a AutoDir version 8.6.1-00 o posteriores.
  • Para HPE XP P9000 Command View Advanced Edition aplicar las actualizaciones DevMgr 8.6.1-00 y CM 8.6.1-00 (solo si REST API es usado, en caso contraio desintalar CM).
  • Para HPE Command View Advanced Edition actualizar a las versiones especificadas o superiores:
    • DevMgr 8.6.0-00: desde DevMgr 8.4.0-00 o superiores, CM está también instalado con DevMgr automáticamente. Esta vulnerabilidad está corregida en DevMgr 8.6.0-00, que incluye CM 8.6.0-00. Para arreglar esta vulnerabilidad:
      • Actualizar DevMgr y CM a 8.6.1-00 o superiores.
      • Si la funcionalidad de CM no es necesaria, desinstalar CM después de haber actualizado DevMgr 8.6.0-00.
    • TSMgr 8.6.0-00
    • RepMgr 8.6.0-00
    • HGLM 8.6.0-00
    • AutoDir 8.6.0-00
    • CM 8.6.1-00: desde DevMgr 8.4.0-00 o superiores, CM está también instalado con DevMgr automáticamente. Esta vulnerabilidad está corregida en DevMgr 8.6.0-00, que incluye CM 8.6.0-00. Para arreglar esta vulnerabilidad:
      • Actualizar DevMgr y CM a 8.6.1-00 o superiores.
      • Si la funcionalidad de CM no es necesaria, desinstalar CM después de haber actualizado DevMgr 8.6.0-00.
  • Para HPE Command View Advanced Edition las vulnerabilidades se resolverán en una futura versión de los productos, como solución provisional se puede cambar el JDK usado por estos productos a Oracle JDK (8u181 o superior).
  • Para HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor seguir los pasos especificados en la web de la vulnerabilidad listada en la sección Referencias.
  • Para HPE Internet Usage Manager mejorado se debe aplicar el último parche acumulativo eIUM90FP01XXX.YYYYMMDD-HHMM a todas las instalaciones basadas en la versión 9.0 FP01XXX, donde XXX es un identificador del cliente.

Detalle:

Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:

  • HPE StorageWorks XP7 Automation Director (AutoDir) versión 8.5.2-02 a anterior a la 8.6.1-00 tiene una vulnerabilidad que expuso la información de autenticación del usuario del sistema de almacenamiento. Este problema a veces se produce bajo condiciones específicas al ejecutar una plantilla de servicio. Se ha asignado el identificador CVE-2018-7108.
  • Los productos HPE XP P9000 Command View Advanced Edition (CVAE) tienen una vulnerabilidad en el servidor web, que se incluye con los productos CVAE, donde se puede recuperar la información del usuario. Este software podría ser explotado para permitir el acceso no autorizado local y remoto a información confidencial. Se ha asignado el identificador CVE-2016-9877.
  • HPE Command View Advanced Edition (CVAE) es vulnerable al bypass de restricción de acceso local y remoto. Se han asignado los identificadores CVE-2017-3736 y CVE-2017-3738.
  • HPE Command View Advanced Edition (CVAE) usando JDK es vulnerable al bypass de autenticación de acceso local y remoto. Se han asignado los identificadores CVE-2018-2940, CVE-2018-2952 y CVE-2018-2973.
  • En HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor las vulnerabilidades pueden explotarse localmente para permitir el cruce de directorios, la divulgación de información privilegiada y la explotación remota para permitir la omisión de restricción de acceso, la ejecución de código y Cross-Site Request Forgery (CSRF). Se han asignado los identificadores CVE-2018-7095, CVE-2018-7096, CVE-2018-7097, CVE-2018-7098 y CVE-2018-7099.
  • En HPE Internet Usage Manager mejorado (eIUM) tiene un avulnerabilidad de modificación arbitraria remota de ficheros. Se ha asignado el identificador CVE-2018-7109.

Etiquetas: Actualización, HP, Vulnerabilidad