در نرمافزار OneView شرکت HP، سه نقص امنیتی شناسایی شدهاند که ممکن است از راه دور برای دور زدن احراز هویت، افشای اطلاعات حساس و حملات انکار سرویس مورد سوء استفاده قرار گیرند.
HPE OneView یک نرم افزار مدیریت زیرساخت فناوری اطلاعات به صورت یکپارچه است که عملیات فناوری اطلاعات را خودکار میکند و مدیریت زیرساخت از جمله محاسبات، ذخیره سازی و شبکه را ساده میکند.
آسیب پذیریهای فاش شده با شمارههای زیر ثبت شدهاند:
- CVE-2023-30908 - دور زدن احراز هویت از راه دور
- CVE-2023-2650 - انکار سرویس
CVE-2023-30908 – انحراف از احراز هویت از راه دور
در این آسیبپذیری با امتیاز CVSS 9.8، حملهکننده میتواند از طریق دور زدن احراز هویت به دسترسی غیرمجاز به HPE OneView دست پیدا کند. این آسیبپذیری به دلیل نحوه مدیریت اطلاعات اعتبار کاربران در HPE OneView ایجاد میشود.
حملهکننده ممکن است با ارسال یک درخواست بهصورت ویژه به سرور HPE OneView از این آسیبپذیری بهرهبرداری کند.
CVE-2023-2650 – انکار سرویس
حملهکننده از راه دور ممکن است از این آسیبپذیری به منظور انجام حمله انکار سرویس روی HPE OneView بهرهبرداری کند. این آسیبپذیری به دلیل نحوه OpenSSL در دستور OBJ_obj2txt() ایجاد میشود.
حملهکننده ممکن است با ارسال یک درخواست بهصورت ویژه به سرور HPE OneView از این آسیبپذیری بهرهبرداری کند.
نسخههای تحت تأثیر
HPE OneView – قبل از نسخه v8.5 و v6.60.05 patch
رفع مشکل
برای رفع این آسیبپذیریها در نرمافزار Hewlett Packard Enterprise OneView نسخههای 8.5 به بالا و نسخه 6.60.05 LTS، HPE از بهروزرسانی نرمافزار زیر استفاده کرده است.
- Hewlett Packard Enterprise OneView v8.5 یا نسخههای بالاتر
- Hewlett Packard Enterprise OneView v6.60.05 LTS
HPE پچهای رفع مشکلات برای نسخههای تحت تأثیر HPE OneView منتشر کرده است. برای محافظت از سیستمها در برابر این آسیبپذیریها، کاربران باید بهروزرسانیها را اعمال کنند.
منبع خبر:
- 92