Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/21

Garrantzia: Handia

Kaltetutako baliabideak:

• HP XP7 Automation Director Software, 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora.
• HPE XP7 Automation Director Software, 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora ondoko modeloen kasuan: 1TB 101-250TB LTU, 1TB 251-500TB LTU, 1TB Enterprise LTU, 1TB Over 500TB LTU, 1TB-day Meter LTU, Base LTU eta Unlimited LTU.
• HPE XP P9000 Command View Advanced Edition Software-ren lizentzia guztiak.
• HPE XP7 Command View Advanced Edition Suite guztiak.
• HPE 3PAR Service Processors - SP-4.4.0.GA-110 (MU7) baino lehenagokoak.
• HP ConvergedSystem 700 Virtualization 2.0 VMware Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
• HP ConvergedSystem 700x for VMware Solution Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
• HP ConvergedSystem 700x v1.1 VMware Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
• HPE enhanced Internet Usage Manager (eIUM) 9.0 FP01 - 9.0 FP01 bertsioan oinarritutako bezeroaren bertsio espezifikoak barne.

Azalpena:

Hainbat ahultasun aurkitu dira HPEren zenbait produktutan:

• HPE StorageWorks XP7 Automation Director-en autentifikazio lokal eta urrunekoaren bypass-a gerta liteke.
• HPE XP P9000 Command View Advanced Edition-en informazio sentikorrera baimen gabeko sarbidea lor liteke, bai modu lokalean eta bai urrunetik.
• HPE Command View Advanced Edition-en murrizpen lokal eta urrunekoaren bypass-a eragin liteke.
• HPE Command View Advanced Edition-en JDK erabiliz autentifikazio lokal eta urrunekoaren bypass-a eragin liteke.
• HPE ConvergedSystem 700 Solutions-ek hainbat ahultasun ditu HPE 3PAR Service Processor erabiltzean.
• HPE Internet Usage Manager hobetuak fitxategi arbitrarioen urruneko aldaketa eragin lezake.

Konponbidea:

• HPE StorageWorks XP7 Automation Director-en kasuan, AutoDir 8.6.1-00 bertsiora edo berriagoetara eguneratu.
• HPE XP P9000 Command View Advanced Edition-en kasuan, DevMgr 8.6.1-00 eta CM 8.6.1-00 eguneraketak aplikatu (soilik REST API erabiltzen bada, bestela CM desinstalatu).
• HPE Command View Advanced Edition-en kasuan, ondoren zehazten diren bertsioetara edo berriagoetara eguneratu:
  • DevMgr 8.6.0-00: DevMgr 8.4.0-00 edo bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera instalatuta. Ahultasuna konponduta dago DevMgr 8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
    • DevMgr eta CM eguneratu 8.6.1-00 bertsiora edo berriagoetara.
    • CM funtzionaltasuna ez bada beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
  • TSMgr 8.6.0-00
  • RepMgr 8.6.0-00
  • HGLM 8.6.0-00
  • AutoDir 8.6.0-00
  • CM 8.6.1-00: DevMgr 8.4.0-00 edo bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera instalatuta. Ahultasuna konponduta dago DevMgr 8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
    • DevMgr eta CM eguneratu 8.6.1-00 bertsiora edo berriagoetara.
    • CM funtzionaltasuna ez bada beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
• HPE Command View Advanced Edition-en kasuan ahultasunak produktuen etorkizuneko bertsio batean konponduko dira. Behin-behineko konponbide modura, produktu hauek erabiltzen duten JDK aldatu egin daiteke Oracle JDKgatik (8u181 edo goragokoa).
• HPE 3PAR Service Processor erabiltzen duen HPE ConvergedSystem 700 Solutions-en kasuan, Erreferentziak atalean zerrendatutako ahultasunaren webgunean adierazitako jarraibideak ezarri.
• HPE Internet Usage Manager hobetuaren kasuan, azken eIUM90FP01XXX.YYYYMMDD-HHMM metatze partxea ezarri behar zaie 9.0 FP01XXX bertsioan oinarritutako instalazio guztiei, non XXX bezeroaren identifikatzailea den.

Xehetasuna:

Asmo gaiztoko erabiltzaile batek aipatutako ahultasunak baliatuko balitu, kaltetutako produktuetan ondoko ekintzak egin litzake:

• HPE StorageWorks XP7 Automation Director (AutoDir) 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora bitartekoek biltegiratze sistemako erabiltzailearen autentifikazioaren agerpen motako ahultasuna daukate. Arazo hau batzuetan gertatzen da, zerbitzu txantiloi bat exekutatzean ematen diren baldintza zehatz batzuetan. CVE-2018-7108 identifikatzailea esleitu zaio.
• HPE XP P9000 Command View Advanced Edition (CVAE) produktuek web zerbitzarian ahultasun bat daukate, erabiltzailearen informazioa berreskuratze motakoa, CVAE produktuen barnean joan ohi dena. Software hau balia liteke informazio konfidentzialera baimenik gabeko sarbide lokal eta urrunekoa lortzeko. CVE-2016-9877 identifikatzailea esleitu zaio.
• HPE Command View Advanced Edition-ek (CVAE) sarbide lokal eta urrunekoaren murrizpeneko bypass erako ahultasuna dauka. CVE-2017-3736 eta CVE-2017-3738 identifikatzaileak erabili dira.
• HPE Command View Advanced Edition-ek (CVAE) JDK erabiltzean sarbide lokal eta urrunekoaren murrizpeneko bypass erako ahultasuna dauka. CVE-2018-2940, CVE-2018-2952 eta CVE-2018-2973 identifikatzaileak erabili dira.
• HPE 3PAR Service Processor erabiltzean HPE ConvergedSystem 700 Solutions-ek dituen ahultasunak lokalki baliatuz ondokoak egin litzake: direktorioak gurutzatu, informazio pribilegiatua zabaldu eta urrunetik sarbidearen murrizpena saihestu, kodea exekutatu eta Cross-Site Request Forgery (CSRF). CVE-2018-7095, CVE-2018-7096, CVE-2018-7097, CVE-2018-7098 eta CVE-2018-7099 identifikatzaileak erabili dira.
• HPE Internet Usage Manager hobetuak (eIUM) fitxategien urruneko aldaketa arbitrario erako ahultasuna dauka. CVE-2018-7109 identifikatzailea esleitu zaio.