HPE/Aruba: Kritische Lücken in SSMC, AirWave Glass und weiteren Produkten
Jetzt updaten: Unter anderem kann eine Lücke mit Höchstwertung in der StoreServ Management Console Angreifern unbefugte Remote-Zugriffe leicht machen.
Hewlett Packard Enterprise (HPE) hat in den vergangenen Tagen drei Security-Bulletins veröffentlicht. Sie thematisieren fast durchweg kritische Sicherheitslücken in der webbasierten StoreServ Management Console (SSMC), in der Konsole AirWave Glass der Netzwerkverwaltungslösung AirWave von HPEs Tochterfirma Aruba sowie in der BlueData EPIC Software- und der Ezmeral Container-Plattform.
Ein viertes, schon etwas älteres Bulletin vom 12. Oktober 2020 befasst sich mit mehreren Remote Code Execution-Lücken im Intelligent Management Center (iMC) PLAT. In allen Fällen gibt es Patches und/oder neue Software-Versionen, die angesichts des Schweregrads der Sicherheitslücken zeitnah eingespielt werden sollten.
Unbefugte Remote-Zugriffe möglich
Die Lücke mit der höchsten Risikoeinstufung, nämlich einem CVSS-v3-Score von 10.0, steckt in der StoreServ Management Console (SSMC). Laut HPEs Beschreibung könnten entfernte Angreifer via CVE-2020-7197 Authentifizierungsmechanismen vollständig umgehen, um die Kontrolle über verwundbare Systeme zu übernehmen. Die Angriffskomplexität sei gering, bestehende Zugriffsrechte oder Interaktionen seitens legitimer Nutzer nicht erforderlich. Ein Update auf SMC 3.7.1.1 schließe die in früheren Versionen vorhandene Lücke.
Die in den übrigen Bulletins beschriebenen Sicherheitslücken kommen CVE-2020-7197 mit CVSS-v3-Scores ab 8.8 bis 9.9 aufwärts in punkto Gefahrenpotenzial sehr nahe. Auch sie sind aus der Ferne ausnutzbar, um unter anderem bestehende Zugriffsrechte zu erweitern, beliebigen Code auszuführen oder unbefugt auf Informationen zuzugreifen.
Verwundbare Versionen und Updates
Angaben zu verwundbaren Versionen und verfügbaren Updates sind den nachfolgend verlinkten Security Bulletins zu entnehmen:
- HPE StoreServ Management Console (SSMC) Remote Authentication Bypass
- HPE BlueData EPIC Software Platform and HPE Ezmeral Container Platform
- Aruba AirWave Glass, Multiple Vulnerabilities
- HPE Intelligent Management Center (iMC) PLAT 7.3, Remote Code Execution
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)