HPE OneView: Kritische LĂĽcke erlaubt Umgehung von Authentifizierung
HPE warnt vor mehreren Sicherheitslücken in OneView, einer Infrastrukurverwaltungssoftware. Angreifer könnten etwa die Anmeldung umgehen.
Hewlett Packard Enterprise, kurz HPE, warnt vor mehreren, teils kritischen Sicherheitslücken in der IT-Infrastrukturverwaltung OneView. Angreifer aus dem Netz könnten sich an der Authentifizierung vorbeimogeln.
Insgesamt drei Schwachstellen erwähnt HPE in einer Sicherheitsmeldung. Die schwerwiegendste Schwachstelle erläutert der CVE-Eintrag: "Diese Sicherheitsanfälligkeit kann aus der Ferne ausgenutzt werden, um die Authentifizierung zu umgehen, vertrauliche Informationen preiszugeben und einen Denial-of-Service zu ermöglichen" – etwaige weiterführende Details fehlen (CVE-2023-30908, CVSS 9.8, Risiko "kritisch").
HPE OneView: Drittherstellerkomponenten als Fehlerquelle
Die weiteren Schwachstellen basieren offenbar auf eingebaute Drittherstellermodule. So könne die Verarbeitung präparierter ASN.1-Objekt-IDs oder Daten, die solche enthalten, sehr langsam sein – ein OpenSSL-Fehler aus dem Mai (CVE-2023-2650, CVSS 6.5, mittel). Zudem war eine Schwachstelle, die Seitenkanalangriffe auf die RSA-Entschlüsselung von OpenSSL erlaubte, auch in HPE OneView enthalten (CVE-2022-4304, CVSS 5.9, mittel).
Ohne weitere Erläuterung summiert HPE das "Allgemeine Sicherheitsrisiko" auf "mittel". Dies trotz der kritischen Lücke, die Angreifern aus dem Netz den Zugriff auf die Software erlaubt, mit der die IT-Infrastruktur von Organisationen verwaltet wird. HPE gibt zudem die Handlungsanweisung: "Auf die Informationen in dieser Sicherheitsmeldung sollte so schnell wie möglich reagiert werden".
Lesen Sie auch
HPE will die verborgenen Daten-Schätze endlich heben​
Die Sicherheitslücken dichten die Versionen HPE OneView 8.5 sowie 6.60.05 LTS und jeweils neuere Fassungen ab. IT-Verantwortliche sollten die Aktualisierungen zügig herunterladen und anwenden, um die Angriffsfläche der IT-Infrastruktur zu minimieren.
(dmk)