HPE, BT altyapı yönetimi Oneview'deki güvenlik açıkları konusunda uyarıyor. Saldırganlar, diğer şeylerin yanı sıra, ağdan kötü amaçlı kod enjekte edebilir ve yürütebilir, Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığından yararlanabilir, sistemdeki ayrıcalıklarını yükseltebilir, yetkisiz bir geri yükleme oluşturabilir veya hizmet reddine neden olabilir.
Reklamcılık
Bir destek makalesinde HPE geliştiricileri, etkilenen önceki sürümlerde HPE Oneview 8.70 güncellemesiyle kapatılacak güvenlik açıklarını özetlemektedir. Sunucu tarafı isteğinde sahtecilik mod_proxy Apache HTTP Sunucusu 2.4.48 ve daha eski sürümler Oneview'i de etkiler (CVE-2021-40438, CVSS 9.0“Risk”kritik“).
HPE Oneview'deki kritik, yüksek riskli ve orta riskli güvenlik açıkları
Ayrıca saldırganlar Oneview'e komutlar ekleyebilir ve ayrıcalıklarını belirtilmemiş yollarla yükseltebilir (CVE-2023-50274, CVSS) 7.8, yüksek). Bu nedenle, CVE-2023-50275, CVSS, CVE-2023-50275'e yol açacak şekilde ClusterService'deki kimlik doğrulamayı atlayabilir. 7.5, yüksek). En son güvenlik açığı, parola belirtmeden kurtarmaya izin verebilir (CVE-2023-6573, CVSS) 5.5, orta).
HPE Oneview v8.70.00 veya daha yenisine yönelik güncelleme, güvenlik açıklarını kapatmayı amaçlamaktadır. HPE Destek Merkezi'nden indirilebilir. HPE, Oneview 6.60 LTS'nin de etkilendiğini ancak desteğin sonuna ulaştığını ve bu nedenle doğrudan güncelleme almayacağını ekliyor.
Geçtiğimiz Eylül ayında HPE, Oneview için güvenlik güncellemelerini dağıtmak zorunda kaldı. O zamanlar bu boşluklar, yazılımın kimlik doğrulamasının kötü niyetli aktörler tarafından atlanabileceği anlamına geliyordu.
(DMK)
Haberin Sonu
Reklamcılık
Bir destek makalesinde HPE geliştiricileri, etkilenen önceki sürümlerde HPE Oneview 8.70 güncellemesiyle kapatılacak güvenlik açıklarını özetlemektedir. Sunucu tarafı isteğinde sahtecilik mod_proxy Apache HTTP Sunucusu 2.4.48 ve daha eski sürümler Oneview'i de etkiler (CVE-2021-40438, CVSS 9.0“Risk”kritik“).
HPE Oneview'deki kritik, yüksek riskli ve orta riskli güvenlik açıkları
Ayrıca saldırganlar Oneview'e komutlar ekleyebilir ve ayrıcalıklarını belirtilmemiş yollarla yükseltebilir (CVE-2023-50274, CVSS) 7.8, yüksek). Bu nedenle, CVE-2023-50275, CVSS, CVE-2023-50275'e yol açacak şekilde ClusterService'deki kimlik doğrulamayı atlayabilir. 7.5, yüksek). En son güvenlik açığı, parola belirtmeden kurtarmaya izin verebilir (CVE-2023-6573, CVSS) 5.5, orta).
HPE Oneview v8.70.00 veya daha yenisine yönelik güncelleme, güvenlik açıklarını kapatmayı amaçlamaktadır. HPE Destek Merkezi'nden indirilebilir. HPE, Oneview 6.60 LTS'nin de etkilendiğini ancak desteğin sonuna ulaştığını ve bu nedenle doğrudan güncelleme almayacağını ekliyor.
Geçtiğimiz Eylül ayında HPE, Oneview için güvenlik güncellemelerini dağıtmak zorunda kaldı. O zamanlar bu boşluklar, yazılımın kimlik doğrulamasının kötü niyetli aktörler tarafından atlanabileceği anlamına geliyordu.
(DMK)
Haberin Sonu