Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/09/18

Garrantzia: Kritikoa

Kaltetutako baliabideak:

HPE Pay Per Use (PPU) Utility Computing Service (UCS) Meter, 1.9 bertsioa.

Azalpena:

"rgod" izenez ezaguna den ikertzaileak, ZDIren Trend Micro enpresarekin elkarlanean, 3 ahultasunen berri eman du; 1 larritasun kritikokoa da, eta 2 larritasun handikoak. Motak: kodearen urrutiko exekuzioa (RCE) eta informazioa zabaltzea.

Solución:

HPEk kaltetutako produktuaren garapen-programaren jarraitutasuna eten du, eta deskarga ezabatu egin da My HPE Software Center zentrotik. Beraz, produktu hori ezabatzea gomendatzen da, zaharkituta geratu baita.

Ahultasun motei erreparatuta, arintze-estrategia bakarra aplikazioarekiko interakzioa mugatzea da.

Xehetasunak:

• Baimenik gabeko urrutiko erasotzaile batek kode arbitrarioa exekuta lezake, sistemaren testuinguruan, kaltetutako HPE PPU UCS Meter instalazioetan, ReceiverServlet motako balioztatze egokirik eza dela eta. Ahultasun horretarako, CVE-2020-24626 identifikatzailea esleitu da.
• Baimenik gabeko urrutiko erasotzaile batek informazioa zabaldu lezake, sistemaren testuinguruan, kaltetutako HPE PPU UCS Meter instalazioetan, DownloadServlet motako balioztatze egokirik eza dela eta. Ahultasun horretarako, CVE-2020-24624 identifikatzailea esleitu da.
• Baimenik gabeko urrutiko erasotzaile batek informazioa zabaldu lezake, sistemaren testuinguruan, kaltetutako HPE PPU UCS Meter instalazioetan, ReceiverServlet motako balioztatze egokirik eza dela eta. Ahultasun horretarako, CVE-2020-24625 identifikatzailea esleitu da.

Etiketak: HP, Ahultasuna