HPE OneView: Kritische Lücke erlaubt Umgehung von Authentifizierung

Hewlett Packard Enterprise, kurz HPE, warnt vor mehreren, teils kritischen Sicherheitslücken in der IT-Infrastrukturverwaltung OneView. Angreifer aus dem Netz könnten sich an der Authentifizierung vorbeimogeln.

Insgesamt drei Schwachstellen erwähnt HPE in einer Sicherheitsmeldung. Die schwerwiegendste Schwachstelle erläutert der CVE-Eintrag: "Diese Sicherheitsanfälligkeit kann aus der Ferne ausgenutzt werden, um die Authentifizierung zu umgehen, vertrauliche Informationen preiszugeben und einen Denial-of-Service zu ermöglichen" – etwaige weiterführende Details fehlen (CVE-2023-30908, CVSS 9.8, Risiko "kritisch").

HPE OneView: Drittherstellerkomponenten als Fehlerquelle

Die weiteren Schwachstellen basieren offenbar auf eingebaute Drittherstellermodule. So könne die Verarbeitung präparierter ASN.1-Objekt-IDs oder Daten, die solche enthalten, sehr langsam sein – ein OpenSSL-Fehler aus dem Mai (CVE-2023-2650, CVSS 6.5, mittel). Zudem war eine Schwachstelle, die Seitenkanalangriffe auf die RSA-Entschlüsselung von OpenSSL erlaubte, auch in HPE OneView enthalten (CVE-2022-4304, CVSS 5.9, mittel).

Ohne weitere Erläuterung summiert HPE das "Allgemeine Sicherheitsrisiko" auf "mittel". Dies trotz der kritischen Lücke, die Angreifern aus dem Netz den Zugriff auf die Software erlaubt, mit der die IT-Infrastruktur von Organisationen verwaltet wird. HPE gibt zudem die Handlungsanweisung: "Auf die Informationen in dieser Sicherheitsmeldung sollte so schnell wie möglich reagiert werden".

Lesen Sie auch

HPE will die verborgenen Daten-Schätze endlich heben​

Die Sicherheitslücken dichten die Versionen HPE OneView 8.5 sowie 6.60.05 LTS und jeweils neuere Fassungen ab. IT-Verantwortliche sollten die Aktualisierungen zügig herunterladen und anwenden, um die Angriffsfläche der IT-Infrastruktur zu minimieren.

(dmk)