Lücke in HPE Operations Orchestration ermöglicht Remote Code Execution

Die Software Operations Orchestration erlaubt in allen Versionen vor 10.80 die Codeausführung aus der Ferne. Hewlett Packard Enterprise rät zum Update. Auch für zwei Performancetest-Tools des Herstellers stehen Aktualisierungen bereit.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.

Die Prozessautomatisierungsplattform Operations Orchestration von Hewlett Packard Enterprise (HPE) weist in allen Versionen vor 10.80 eine Sicherheitslücke auf. Sie trägt die Bezeichnung CVE-2017-8994 und ermöglicht unter bestimmten Voraussetzungen die Ausführung von Schadcode aus der Ferne. Das durch die Lücke entstehende Risiko ist "hoch" (CVSS-Score 7.5). Laut HP Enterprise kann sie durch ein Update auf Version 10.80 behoben werden.

In zwei weiteren HPE-Produkten – nämlich in den Performancetest-Tools LoadRunner und Performance Center – befindet sich eine auf die Kennung CVE-2016-2183 getaufte Schwachstelle mittleren Schweregrads. Aufgrund der Nutzung eines veralteten Verschlüsselungsverfahrens könnten versierte Angreifer TLS-verschlüsselte Daten mitlesen. Ein von HPE bereitgestelltes Update für beide Programme vereitelt den auch als Sweet32 bekannten Angriff vollständig. (ovw)