zurück zum Artikel

Die Software Operations Orchestration erlaubt in allen Versionen vor 10.80 die Codeausführung aus der Ferne. Hewlett Packard Enterprise rät zum Update. Auch für zwei Performancetest-Tools des Herstellers stehen Aktualisierungen bereit.

Die Prozessautomatisierungsplattform Operations Orchestration von Hewlett Packard Enterprise (HPE) weist in allen Versionen vor 10.80 eine Sicherheitslücke auf [1]. Sie trägt die Bezeichnung CVE-2017-8994 und ermöglicht unter bestimmten Voraussetzungen die Ausführung von Schadcode aus der Ferne. Das durch die Lücke entstehende Risiko ist "hoch" (CVSS-Score 7.5). Laut HP Enterprise kann sie durch ein Update auf Version 10.80 behoben werden.

In zwei weiteren HPE-Produkten – nämlich in den Performancetest-Tools LoadRunner und Performance Center – befindet sich eine auf die Kennung CVE-2016-2183 [2] getaufte Schwachstelle mittleren Schweregrads. Aufgrund der Nutzung eines veralteten Verschlüsselungsverfahrens könnten versierte Angreifer TLS-verschlüsselte Daten mitlesen. Ein von HPE bereitgestelltes Update für beide Programme [3] vereitelt den auch als Sweet32 [4] bekannten Angriff vollständig. (ovw [5])

URL dieses Artikels:
https://www.heise.de/-3819782

Links in diesem Artikel:
[1] https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbgn03767en_us
[2] https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbgn03765en_us
[3] https://softwaresupport.hpe.com/group/softwaresupport/search-result/-/facetsearch/document/KM02853399?lang=en&cc=us&hpappid=202392_SSO_PRO_HPE
[4] https://www.heise.de/news/3DES-wird-zum-Problem-fuer-TLS-Verschluesselung-3304994.html
[5] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2017 Heise Medien