heise PlusAbo
Anzeige
Alert!

HPE OneView: Kritische LĂĽcke erlaubt Codeschmuggel aus dem Netz

In HPEs OneView können bösartige Akteure aus dem Netz ohne Authentifizierung Schadcode einschleusen. Ein Update steht bereit.

vorlesen Druckansicht
Rote und blaue Ethernet-Kabel hängen an einem Rack

(Bild: asharkyu/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In HPE OneView klafft eine kritische Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen können. Da das ohne vorherige Anmeldung aus dem Internet möglich ist, erhält die Schwachstelle die höchstmögliche Risikoeinstufung.

HPEs OneView dient zur zentralen Verwaltung von IT-Infrastrukturen wie Servern, Speichersystemen und Netzwerken. Die Schwachstellenbeschreibung vom Dienstag erörtert lediglich knapp: „Ein Remote-Code-Execution-Problem besteht in HPE OneView“ (CVE-2025-37164, CVSS 10.0, Risiko „kritisch“). Eine Sicherheitsmitteilung auf der HPE-Website ist kaum hilfreicher, nennt jedoch zumindest Randbedingungen: „Eine mögliche Sicherheitslücke wurde in der Hewlett Packard Enterprise OneView-Software erkannt. Die Schwachstelle könnte missbraucht werden, sie ermöglicht unauthentifizierten Nutzern aus dem Netz, Code aus der Ferne auszuführen“.

Worin die Schwachstelle konkret besteht und wie Angriffe aussehen könnten, erklärt HPE nicht. Betroffen sind jedoch alle Fassungen vor Version 11.00, die jüngst veröffentlicht wurde. HPE stellt sie im HPE-Software-Center zum Download bereit.

Hotfixes für ältere Versionen

Außerdem will HPE im Software-Center Hotfixes für ältere Versionen von OneView zwischen 5.20 und 10.20 zur Verfügung stellen. Der Hotfix muss nach einem Upgrade von OneView 6.60.xx auf 7.00.00 erneut angewendet werden, außerdem nach Anwenden von HPE Synergy Composer, ergänzt der Hersteller.

Aufgrund des Schweregrads der SicherheitslĂĽcke sollten IT-Verantwortliche die Aktualisierung umgehend herunterladen und installieren.

Videos by heise

Zuletzt mussten Admins eine hochriskante SicherheitslĂĽcke in OneView fĂĽr VMware vCenter mit Updates stopfen. Angreifer konnten dadurch ihre Nutzerrechte ausweiten und Befehle als Admin ausfĂĽhren. Anfang 2024 gab es ebenfalls kritische SicherheitslĂĽcken in HPE OneView, dort allerdings durch mitgelieferte Drittanbietersoftware wie den Apache HTTP-Server.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten