Argitalpen data: 2018/09/21
Garrantzia: Handia
Kaltetutako baliabideak:
- HP XP7 Automation Director Software,
8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora.
- HPE XP7 Automation Director Software,
8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora ondoko modeloen kasuan:
1TB 101-250TB LTU, 1TB 251-500TB LTU, 1TB Enterprise LTU, 1TB Over 500TB
LTU, 1TB-day Meter LTU, Base LTU eta Unlimited LTU.
- HPE XP P9000 Command View Advanced
Edition Software-ren lizentzia guztiak.
- HPE XP7 Command View Advanced Edition
Suite guztiak.
- HPE 3PAR Service Processors -
SP-4.4.0.GA-110 (MU7) baino lehenagokoak.
- HP ConvergedSystem 700 Virtualization
2.0 VMware Kit - SWFW Compatibility Matrix 2017ko azarokoa baino
lehenagokoak.
- HP ConvergedSystem 700x for VMware
Solution Kit - SWFW Compatibility Matrix 2017ko azarokoa baino
lehenagokoak.
- HP ConvergedSystem 700x v1.1 VMware
Kit - SWFW Compatibility Matrix 2017ko azarokoa baino lehenagokoak.
- HPE enhanced Internet Usage Manager
(eIUM) 9.0 FP01 - 9.0 FP01 bertsioan oinarritutako bezeroaren bertsio
espezifikoak barne.
Azalpena:
Hainbat ahultasun aurkitu dira
HPEren zenbait produktutan:
- HPE StorageWorks XP7 Automation
Director-en autentifikazio lokal eta urrunekoaren bypass-a gerta
liteke.
- HPE XP P9000 Command View Advanced
Edition-en informazio sentikorrera baimen gabeko sarbidea lor liteke, bai
modu lokalean eta bai urrunetik.
- HPE Command View Advanced Edition-en
murrizpen lokal eta urrunekoaren bypass-a eragin liteke.
- HPE Command View Advanced Edition-en
JDK erabiliz autentifikazio lokal eta urrunekoaren bypass-a eragin
liteke.
- HPE ConvergedSystem 700 Solutions-ek
hainbat ahultasun ditu HPE 3PAR Service Processor erabiltzean.
- HPE Internet Usage Manager hobetuak
fitxategi arbitrarioen urruneko aldaketa eragin lezake.
Konponbidea:
- HPE StorageWorks XP7 Automation
Director-en kasuan, AutoDir 8.6.1-00 bertsiora edo berriagoetara
eguneratu.
- HPE XP P9000 Command View Advanced
Edition-en kasuan, DevMgr 8.6.1-00 eta CM 8.6.1-00 eguneraketak aplikatu
(soilik REST API erabiltzen bada, bestela CM desinstalatu).
- HPE Command View Advanced Edition-en
kasuan, ondoren zehazten diren bertsioetara edo berriagoetara eguneratu:
- DevMgr 8.6.0-00: DevMgr 8.4.0-00 edo
bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera
instalatuta. Ahultasuna konponduta dago DevMgr
8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
- DevMgr eta CM eguneratu 8.6.1-00
bertsiora edo berriagoetara.
- CM funtzionaltasuna ez bada
beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
- TSMgr 8.6.0-00
- RepMgr 8.6.0-00
- HGLM 8.6.0-00
- AutoDir 8.6.0-00
- CM 8.6.1-00: DevMgr 8.4.0-00 edo
bertsio berriagoez geroztik, CM ere automatikoki dago DevMgr-rekin batera
instalatuta. Ahultasuna konponduta dago DevMgr
8.6.0-00 bertsioan, CM 8.6.0-00 barneratzen duena. Ahultasun hori konpontzeko:
- DevMgr eta CM eguneratu 8.6.1-00
bertsiora edo berriagoetara.
- CM funtzionaltasuna ez bada
beharrezkoa, CM desinstalatu DevMgr 8.6.0-00 eguneratu ondoren.
- HPE Command View Advanced Edition-en
kasuan ahultasunak produktuen etorkizuneko bertsio batean konponduko dira.
Behin-behineko konponbide modura, produktu hauek erabiltzen duten JDK
aldatu egin daiteke Oracle JDKgatik (8u181 edo goragokoa).
- HPE 3PAR Service Processor erabiltzen
duen HPE ConvergedSystem 700 Solutions-en kasuan, Erreferentziak atalean zerrendatutako ahultasunaren webgunean
adierazitako jarraibideak ezarri.
- HPE Internet Usage Manager hobetuaren
kasuan, azken eIUM90FP01XXX.YYYYMMDD-HHMM metatze partxea ezarri behar
zaie 9.0 FP01XXX bertsioan oinarritutako instalazio guztiei, non XXX
bezeroaren identifikatzailea den.
Xehetasuna:
Asmo gaiztoko erabiltzaile batek
aipatutako ahultasunak baliatuko balitu, kaltetutako produktuetan ondoko
ekintzak egin litzake:
- HPE StorageWorks XP7 Automation
Director (AutoDir) 8.5.2-02tik 8.6.1-00 bertsioa baino lehenagokora
bitartekoek biltegiratze sistemako erabiltzailearen autentifikazioaren
agerpen motako ahultasuna daukate. Arazo hau batzuetan
gertatzen da, zerbitzu txantiloi bat exekutatzean ematen diren baldintza
zehatz batzuetan. CVE-2018-7108 identifikatzailea
esleitu zaio.
- HPE XP P9000 Command View Advanced
Edition (CVAE) produktuek web zerbitzarian ahultasun bat daukate,
erabiltzailearen informazioa berreskuratze motakoa, CVAE produktuen
barnean joan ohi dena. Software hau balia liteke informazio
konfidentzialera baimenik gabeko sarbide lokal eta urrunekoa lortzeko. CVE-2016-9877 identifikatzailea esleitu zaio.
- HPE Command View Advanced Edition-ek
(CVAE) sarbide lokal eta urrunekoaren murrizpeneko bypass erako ahultasuna dauka. CVE-2017-3736 eta CVE-2017-3738
identifikatzaileak erabili dira.
- HPE Command View Advanced Edition-ek
(CVAE) JDK erabiltzean sarbide lokal eta urrunekoaren murrizpeneko bypass
erako ahultasuna dauka. CVE-2018-2940, CVE-2018-2952 eta
CVE-2018-2973 identifikatzaileak erabili dira.
- HPE 3PAR Service Processor
erabiltzean HPE ConvergedSystem 700 Solutions-ek dituen ahultasunak
lokalki baliatuz ondokoak egin litzake: direktorioak gurutzatu, informazio
pribilegiatua zabaldu eta urrunetik sarbidearen murrizpena saihestu, kodea
exekutatu eta Cross-Site Request Forgery (CSRF). CVE-2018-7095, CVE-2018-7096, CVE-2018-7097, CVE-2018-7098 eta
CVE-2018-7099 identifikatzaileak erabili dira.
- HPE Internet Usage Manager hobetuak
(eIUM) fitxategien urruneko aldaketa arbitrario erako ahultasuna dauka. CVE-2018-7109 identifikatzailea esleitu zaio.
Etiketak: Eguneraketa, HP,
Ahultasuna