• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Múltiples vulnerabilidades en productos HPE

05/02/2019

=============================================
CVE-2018-7117 y CVE-2018-7118
Fecha de lanzamiento: 05/02/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Se han detectado varias vulnerabilidades en productos de HPE que podrían permitir una ejecución remota de código (XSS) o eludir la restricción de acceso local.

INFORMACIÓN

Hewlett Packard Enterprise Company (comúnmente conocida como HPE) es una compañía estadounidense de tecnología de información empresarial multinacional como parte de la división de la empresa Hewlett-Packard. HPE es una organización centrada en el negocio con dos divisiones: Enterprise Group, que trabaja en servidores, almacenamiento, redes, consultoría y soporte, y servicios financieros.

DESCRIPCIÓN

Un atacante remoto podría explotar la vulnerabilidad de iLO de HP que permitiría la ejecución de código arbitrario a través del interfaz web de usuario.

Un atacante con acceso local podría omitir las restricciones de acceso en HPE Service Pack ProLiant.

SISTEMAS AFECTADOS

- HPE Integrated Lights-Out 5 (iLO 5) para HPE Gen10 Servers versiones anteriores a v1.40.
- HPE Service Pack para ProLiant versiones anteriores a 2018.09.0 (27 Sep 2018).

SOLUCIÓN

- Para HPE Integrated Lights-Out 5 (iLO 5) actualizar el firmware a la versión 1.40 o posterior.
- Para HPE Service Pack para ProLiant (SPP) actualizar a la versión 2018.09.0 (27 Sep 2018) o posterior.

FUENTE

https://www.incibe-cert.es/