Divulgación de información en NonStop SafeGuard de HPE

Fecha de publicación 15/03/2019
Importancia
4 - Alta
Recursos Afectados
  • SAFEGUARD: todas las versiones anteriores a T9750L01^AID o T9750H05^AIH y posteriores cuando el atributo de configuración PASSWORD-PROMPT no está configurado en BLIND.
  • STDSEC-STANDARD SECURITY PROD: todas las versiones anteriores a T6533L01^ADU o T6533H05^ADW y posteriores cuando el atributo de configuración PASSWORD-PROMPT no está configurado en BLIND.
Descripción

HPE ha publicado una vulnerabilidad en su producto NonStop SafeGuard que podría permitir a un atacante la divulgación local de las credenciales.

Solución

Instalar los SPRs apropiados en función de la versión de lanzamiento:

  • L-series:
    • T9750L01^AID (SAFEGUARD), ya disponible
    • T6533L01^ADU (STDSEC-STANDARD SECURITY PROD), ya disponible
  • J-series:
    • T9750H05^AIH (SAFEGUARD) - estará disponible en la próxima RVU serie J
    • T6533H05^ADW (STDSEC-STANDARD SECURITY PROD) - estará disponible en la próxima RVU serie J
Detalle
  • Algunos comandos del software NonStop Safeguard y NonStop Standard Security requieren que el nombre de usuario y la contraseña se pasen como parámetros de línea de comandos, lo que puede conducir a una divulgación local de las credenciales. Se ha reservado el identificador CVE-2018-7119 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
HPESBNS03910 rev.1 - HPE NonStop SafeGuard, Local Disclosure of Sensitive Information
Etiquetas