Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/08/13

Garrantzia: Handia

Kaltetutako baliabideak:

• HP 1810-24G Switch P.2.22 eta lehenagokoak
• HP 1810-48G Switch PK.1.34 eta lehenagokoak
• HP 1810-8 v2 Switch P.2.22 eta lehenagokoak
• HPE 3PAR Service Processors, SP-4.4.0.GA-110 (MU7) bertsioa baino lehenagokoak
• HPE 3PAR Service Processors, SP-5.0.0.0-22913 (GA) bertsioa baino lehenagokoak

Azalpena:

HPE OfficeConnect 1810 Switch Seriesen ahultasun bat aurkitu da. Horren eraginez 3PAR Service Processor-en (SP) informazioaren zabalkundea eta hainbat ahultasun eragin litezke. Horiek baliatuz kodea urrunetik exekuta liteke, autentifikazioa saihestu eta informazioa zabaldu.

Konponbidea:

• HPE OfficeConnect 1810-8 eta 1810-24 Switch Seriesen kasuan P.2.23ra eguneratu.
• HPE OfficeConnect 1810-48 Switch Seriesen kasuan PK.1.35era eguneratu
• HPE 3PAR Service Processorsen kasuan, SP-4.4.0.GA-110(MU7) baino lehenagoko bertsioetarako,  SP-4.4.0.GA-110(MU7) bertsiora eguneratu. Horrez gain, beharrezkoa da setupusr, spvar, 3parcust eta cpmaint kontuek lehenetsita dituzten pasahitzak aldatzea.
• HPE 3PAR Service Processorsen kasuan, SP-5.0.0.0-22913(GA) baino lehenagoko bertsioetarako, SP-5.0.0.0-22913(GA) bertsiora eguneratu.

Xehetasuna:

Larritasun altuko ahultasunek HPE 3PAR Service Processor-i (SP) eragiten diote eta horiek baliatuz ondokoa eragin liteke:

• Autentifikazioari ihes egitea. Ahultasun horretarako CVE-2018-7095 identifikatzailea erreserbatu da.
• Kodearen urrutiko exekuzioa. Ahultasun horretarako CVE-2018-7096 identifikatzailea erreserbatu da.
• Informazio lokal pribilegiatuaren zabalkundea. Ahultasun horretarako CVE-2018-7099 eta CVE-2018-7094 identifikatzaileak erreserbatu dira.

Etiketak: Eguneraketa, HP, Ahultasuna