Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun HPE produktuetan

Argitalpen data: 2018/09/21

Garrantzia: Handia

Kaltetutako baliabideak:

  • HP XP7 Automation Director Software, 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora.
  • HPE XP7 Automation Director Software, 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora ondoko modeloen kasuan: 1TB 101-250TB LTU, 1TB 251-500TB LTU, 1TB Enterprise LTU, 1TB Over 500TB LTU, 1TB-day Meter LTU, Base LTU eta Unlimited LTU.
  • HPE XP P9000 Command View Advanced Edition Software-ren lizentzia guztiak.
  • HPE XP7 Command View Advanced Edition Suite guztiak.
  • HPE 3PAR Service Processors - SP-4.4.0.GA-110 (MU7) baino lehenagokoak.
  • HP ConvergedSystem 700 Virtualization 2.0 VMware Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
  • HP ConvergedSystem 700x for VMware Solution Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
  • HP ConvergedSystem 700x v1.1 VMware Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
  • HPE enhanced Internet Usage Manager (eIUM) 9.0 FP01 - 9.0 FP01 bertsioan oinarritutako bezeroaren bertsio espezifikoak barne.

Azalpena:

Hainbat ahultasun aurkitu dira HPEren zenbait produktutan:

  • HPE StorageWorks XP7 Automation Director-en autentifikazio lokal eta urrunekoaren bypass-a gerta liteke.
  • HPE XP P9000 Command View Advanced Edition-en informazio sentikorrera baimen gabeko sarbidea lor liteke, bai modu lokalean eta bai urrunetik.
  • HPE Command View Advanced Edition-en murrizpen lokal eta urrunekoaren bypass-a eragin liteke.
  • HPE Command View Advanced Edition-en JDK erabiliz autentifikazio lokal eta urrunekoaren bypass-a eragin liteke.
  • HPE ConvergedSystem 700 Solutions-ek hainbat ahultasun ditu HPE 3PAR Service Processor erabiltzean.
  • HPE Internet Usage Manager hobetuak fitxategi arbitrarioen urruneko aldaketa eragin lezake.

Konponbidea:

  • HPE StorageWorks XP7 Automation Director-en kasuan, AutoDir 8.6.1-00 bertsiora edo berriagoetara eguneratu.
  • HPE XP P9000 Command View Advanced Edition-en kasuan, DevMgr 8.6.1-00 eta CM 8.6.1-00 eguneraketak aplikatu (soilik REST API erabiltzen bada, bestela CM desinstalatu).
  • HPE Command View Advanced Edition-en kasuan, ondoren zehazten diren bertsioetara edo berriagoetara eguneratu:
    • DevMgr 8.6.0-00: DevMgr 8.4.0-00 edo bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera instalatuta. Ahultasuna konponduta dago DevMgr 8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
      • DevMgr eta CM eguneratu 8.6.1-00 bertsiora edo berriagoetara.
      • CM funtzionaltasuna ez bada beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
    • TSMgr 8.6.0-00
    • RepMgr 8.6.0-00
    • HGLM 8.6.0-00
    • AutoDir 8.6.0-00
    • CM 8.6.1-00: DevMgr 8.4.0-00 edo bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera instalatuta. Ahultasuna konponduta dago DevMgr 8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
      • DevMgr eta CM eguneratu 8.6.1-00 bertsiora edo berriagoetara.
      • CM funtzionaltasuna ez bada beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
  • HPE Command View Advanced Edition-en kasuan ahultasunak produktuen etorkizuneko bertsio batean konponduko dira. Behin-behineko konponbide modura, produktu hauek erabiltzen duten JDK aldatu egin daiteke Oracle JDKgatik (8u181 edo goragokoa).
  • HPE 3PAR Service Processor erabiltzen duen HPE ConvergedSystem 700 Solutions-en kasuan, Erreferentziak atalean zerrendatutako ahultasunaren webgunean adierazitako jarraibideak ezarri.
  • HPE Internet Usage Manager hobetuaren kasuan, azken eIUM90FP01XXX.YYYYMMDD-HHMM metatze partxea ezarri behar zaie 9.0 FP01XXX bertsioan oinarritutako instalazio guztiei, non XXX bezeroaren identifikatzailea den.

Xehetasuna:

Asmo gaiztoko erabiltzaile batek aipatutako ahultasunak baliatuko balitu, kaltetutako produktuetan ondoko ekintzak egin litzake:

  • HPE StorageWorks XP7 Automation Director (AutoDir) 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora bitartekoek biltegiratze sistemako erabiltzailearen autentifikazioaren agerpen motako ahultasuna daukate. Arazo hau batzuetan gertatzen da, zerbitzu txantiloi bat exekutatzean ematen diren baldintza zehatz batzuetan. CVE-2018-7108 identifikatzailea esleitu zaio.
  • HPE XP P9000 Command View Advanced Edition (CVAE) produktuek web zerbitzarian ahultasun bat daukate, erabiltzailearen informazioa berreskuratze motakoa, CVAE produktuen barnean joan ohi dena. Software hau balia liteke informazio konfidentzialera baimenik gabeko sarbide lokal eta urrunekoa lortzeko. CVE-2016-9877 identifikatzailea esleitu zaio.
  • HPE Command View Advanced Edition-ek (CVAE) sarbide lokal eta urrunekoaren murrizpeneko bypass erako ahultasuna dauka. CVE-2017-3736 eta CVE-2017-3738 identifikatzaileak erabili dira.
  • HPE Command View Advanced Edition-ek (CVAE) JDK erabiltzean sarbide lokal eta urrunekoaren murrizpeneko bypass erako ahultasuna dauka. CVE-2018-2940, CVE-2018-2952 eta CVE-2018-2973 identifikatzaileak erabili dira.
  • HPE 3PAR Service Processor erabiltzean HPE ConvergedSystem 700 Solutions-ek dituen ahultasunak lokalki baliatuz ondokoak egin litzake: direktorioak gurutzatu, informazio pribilegiatua zabaldu eta urrunetik sarbidearen murrizpena saihestu, kodea exekutatu eta Cross-Site Request Forgery (CSRF). CVE-2018-7095, CVE-2018-7096, CVE-2018-7097, CVE-2018-7098 eta CVE-2018-7099 identifikatzaileak erabili dira.
  • HPE Internet Usage Manager hobetuak (eIUM) fitxategien urruneko aldaketa arbitrario erako ahultasuna dauka. CVE-2018-7109 identifikatzailea esleitu zaio.
Etiketak: Eguneraketa, HP, Ahultasuna