SicherheitslĂĽcke in HP-Server bei "Power Down"
Um ein Sicherheitsproblem im integrierten ILO-Management des Servermodells ProLiant DL585 auch bei heruntergefahrenem System kurzfristig zu beheben, schlägt Hewlett-Packard vor, das Stromkabel abzuziehen.
Einen auf den ersten Blick etwas skurrilen Workaround zum Beseitigen eines Sicherheitsproblems beim Servermodell HP ProLiant DL585 schlägt der Hersteller Hewlett-Packard vor: Stromkabel abziehen. Andernfalls sei es im ausgeschalteten Zustand des Systems (Power Down) möglich, über das Netzwerk unautorisierten Zugriff auf die Server-Controls zu erhalten.
Ursache des Problems ist nach Angaben des Herstellers ein Fehler im so genannten Lights-Out-Remote-Management, mit der Teile der Hardware auch bei heruntergefahrenem Server administrierbar sind. Die Lücke findet sich in HPs Integrated Lights-Out (ILO) bis einschließlich Firmware-Version 1.8. Die neue Version 1.81 ist laut Advisory in Arbeit, bis zu Fertigstellung sollen Administratoren im Zweifelsfalle lieber den Workaround befolgen. Dann erhält auch das ILO keinen Strom mehr und die Lücke lässt sich nicht ausnutzen. Allerdings ist dafür - und zum Wiederhochfahren -- jedes Mal der Gang in den Serverraum erforderlich.
Siehe dazu auch: (dab)
- HP ProLiant DL585 Servers Unauthorized Remote Access, Fehlerreport von HP
