HP stellt sich erneut an den Security-Pranger
Die zu HP gehörende Zero Day Initiative bringt ihre Mutterfirma schon wieder in die Bredouille: Sie hat Informationen über neun kritische Sicherheitslücken in HP-Produkten veröffentlicht, die zum Teil seit über einem Jahr ungepatcht sind.
- Ronald Eikenberg
Die Zero Day Initiative (ZDI) hat erneut Informationen über ungepatchte Sicherheitslücken in HP-Produkten veröffentlicht:
- HP SiteScope SOAP Call update Remote Code Execution Vulnerability
- HP SiteScope SOAP Call loadFileContent Remote Code Execution Vulnerability
- HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability
- HP SiteScope SOAP Call create Remote Code Execution Vulnerability
- HP SiteScope UploadFilesHandler Remote Code Execution Vulnerability
- HP SiteScope SOAP Call getSiteScopeConfiguration Remote Code Execution Vulnerability
- HP Operations Orchestration RSScheduler Service JDBC Connector Remote Code Execution Vulnerability
- HP Intelligent Management Center UAM sprintf Remote Code Execution Vulnerability
- HP Application Lifecycle Management XGO.ocx ActiveX Control Remote Code Execution Vulnerability
Die 0day-Lücken erlauben Angreifern allesamt, Code aus der Ferne in die Serversysteme einzuschleusen und zur Ausführung zu bringen und haben überwiegend den höchstmöglichen Gefährdungswert (CVSS) von 10.
Vor der Veröffentlichung der Schwachstellen-Details hatte HP bis zu ein Jahr Schonzeit, um die neun kritischen Lücken zu schließen. Da die ZDI nach einem Zukauf zu HP gehört, stellt sich das Unternehmen durch die Herausgabe der Informationen selbst an den Pranger – uns das nicht zum ersten Mal: eine Woche zuvor hatte das ZDI bereits fünf Advisories zu ungepatchten HP-Lücken veröffentlicht.
Unklar ist, warum es HP trotz der großzügig bemessenen Schonfristen nicht gelungen ist, die Schwachstellen zu beseitigen. Mehrere diesbezüglich von heise Security gestellte Anfragen blieben bislang unbeantwortet. (rei)