Argitalpen data: 2020/04/27
Garrantzia:
Altua
Kaltetutako baliabideak:
- HPE IOT GCP, 1.4.0, 1.4.1, 1.4.2 eta 1.2.4.2 bertsioak;
- ProLiant-erako HPE Service Pack, 2018.06.0, 2018.09.0 eta 2018.11.0 bertsioak (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE SATA Read Intensive Solid State Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE NVMe Mixed Use Solid State Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE Business Critical Hard Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE Server Enterprise Hard Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE Server SAS Hard Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE Server SATA Hard Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio);
- HPE Server Solid State Drives HPG2 (Linuxen firmwarearen instalatzaileari soilik aplikatzen zaio).
Azalpena:
Hiru ahultasun aurkitu dira, 2 larritasun
altukoak eta bat ertainekoa, era hauetakoak hurrenez hurren: baimendu gabeko
urruneko sarbidea, kode arbitrarioaren exekuzioa modu lokalean, eta informazio
sentikorrera urruneko sarbidea.
Konponbidea:
- HPE UIoT 1.4.2 RP204 bertsiora eguneratzea.
- CVE-2020-7135 ahultasunak eragindako produktuen kasuan, konponbideak ohartarazpenaren
RESOLUTION atalean ageri dira. Horiek ezar daitezke ProLiant-erako HPE Service
Pack 2019.03.0 bertsiora edo berriagoetara eguneratuz, edo Linuxerako Online
HDD/SDD Flash Component eguneratuz, biak eskuragarri HPE Support Center-en
webgunetik.
Xehetasuna:
- Baimendu gabeko urruneko erasotzaile batek informazio sentikorrera sarbidea eskura lezake HPE UIoT-en hainbat bertsiotan. Ahultasun horretarako CVE-2020-7133 identifikatzailea erabili da.
- Linux exekutatzen duten HPE zerbitzarietan Supplemental Update / Online ROM Flash Component izena duten disko unitateko firmwarearen instalatzaileetan ahultasun bat aurkitu da. Erasotzaile lokal batek kode arbitrarioa exekuta lezake software ahul honetan. Ahultasun horretarako CVE-2020-7135 identifikatzailea erreserbatu da.
Larritasun ertaineko ahultasunerako
CVE-2020-7134 identifikatzailea erabili da.
Etiketak: Eguneraketa, HP, Ahultasuna