HPE 修补了两个关键的远程可利用漏洞

安全 2020-11-03 16:20

声明：该文章由作者（娅米）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序，一个漏洞在StoreServ管理控制台中被确认，另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。

最严重的问题存在于HPE StoreServ管理控制台（SSMC）3.7.0.0中，CVE-2020-7197漏洞可以利用远程绕过身份验证保护，其CVSS评分为10。SSMC是基于节点的Web控制台，它为多个阵列的管理提供支持，通常安装在Linux或Windows服务器上，并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证，直接获得对应用程序的访问权限。

MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法，3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196，其CVSS评分为9.9。HPE解释说，问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码，导致密码容易受到未经授权的拦截和/或检索。”

HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外，HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。

消息来源：securityweek；封面来自网络；译者：小江。

本文由 HackerNews.cc 翻译整理。

关注我们