Kritische Sicherheitslücke in HPE iLo: "So schnell wie möglich handeln"

HP warnt Nutzer seiner Proliant-Server vor einer kritischen Sicherheitslücke in der proprietären Management-Software Integrated Lights-out 4 (iLO 4). Da iLO in die Hardware eingebettet ist, stellt es Funktionen mit weitreichenden Systemrechten unabhängig vom Betriebssystem zur Verfügung. Das macht die Sicherheitslücke (CVE-2017-12542 ) besonders kritisch, denn Angreifer können sie missbrauchen, um sich aus der Ferne ohne Benutzerdaten via iLO anzumelden und Schadcode auszuführen.

HP hat die Schwachstelle mit einer CVSS-Einstufung von 9.8 (CVSS v3) bzw 10.0 (CVSS v2) versehen. Entdeckt wurde sie von einem Mitarbeiter von Airbus Defense and Space CyberSecurity. Sie betrifft alle HP-Server, die eine iLO-4-Version, die älter als 2.53 ist, installiert haben. HP empfiehlt Administratoren, die entsprechende Server betreiben, "umgehend zu handeln". Ein Firmware-Update, das die Lücke stopft, ist auf der Support-Seite für iLO 4 erhältlich. (fab)