Noticias

Múltiples vulnerabilidades en varios productos de HPE

Fecha de publicación: 27/04/2020

Importancia:
Alta

Recursos afectados:

  • HPE IOT + GCP, versiones 1.4.0, 1.4.1, 1.4.2 y 1.2.4.2;
  • HPE Service Pack para ProLiant, versiones 2018.06.0, 2018.09.0 y 2018.11.0 (solo aplica al instalador de firmware de Linux);
  • HPE SATA Read Intensive Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE NVMe Mixed Use Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Business Critical Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server Enterprise Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server SAS Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server SATA Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux).

Descripción:

Se han detectado 3 vulnerabilidades, 2 de severidad alta y una media, de tipo acceso remoto no autorizado, ejecución de código arbitrario de manera local y acceso remoto a información sensible, respectivamente.

Solución:

  • Actualizar HPE UIoT a la versión 1.4.2 RP204.
  • Para los productos afectados por la vulnerabilidad CVE-2020-7135, las soluciones que aparecen listadas en la sección RESOLUTION del aviso pueden aplicarse actualizando HPE Service Pack para ProLiant a la versión 2019.03.0 o posteriores, o actualizando Online HDD/SDD Flash Component para Linux, ambos disponibles desde la web de HPE Support Center.

Detalle:

  • Un atacante remoto, no autorizado, podría obtener acceso a información sensible en varias versiones de HPE UIoT. Se ha asignado el identificador CVE-2020-7133 para esta vulnerabilidad.
  • Se ha identificado una vulnerabilidad en los instaladores de firmware de la unidad de disco denominados Supplemental Update / Online ROM Flash Component en los servidores HPE que ejecutan Linux. Un atacante local podría ejecutar código arbitrario en este software vulnerable. Se ha reservado el identificador CVE-2020-7135 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2020-7134.

Encuesta valoración

Etiquetas:
Actualización, HP, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.