Ejecución remota de código en SimpliVity OmniStack y en OmniCube de HPE
Fecha de publicación 16/03/2021
Importancia
5 - Crítica
Recursos Afectados
- HPE SimpliVity 2600 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad;
- HPE SimpliVity 380 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad;
- HPE SimpliVity 380 Gen10 G, depende de la versión ESXi, consulte la guía de interoperabilidad;
- HPE SimpliVity 380 Gen10 H, depende de la versión ESXi, consulte la guía de interoperabilidad;
- HPE SimpliVity 380 Gen9, depende de la versión ESXi, consulte la guía de interoperabilidad;
- HPE SimpliVity 325, depende de la versión ESXi, consulte la guía de interoperabilidad;
- SimpliVity OmniStack for Cisco, HPE OmniStack 3.7.10 U1 o anterior;
- SimpliVity OmniStack for Dell, HPE OmniStack 3.7.10 U1 o anterior;
- SimpliVity OmniStack for Lenovo, HPE OmniStack 3.7.10 U1 o anterior;
- SimpliVity OmniCube, HPE OmniStack 3.7.10 U1 o anterior.
Descripción
Se ha publicado una vulnerabilidad crítica que afecta a varios productos de HPE y que podría permitir a un atacante la ejecución remota de código.
Solución
- Para ESXi versión 6.5, aplicar ESXi 6.5 EP 23;
- para ESXi versión 6.7, aplicar ESXi 6.7 P04;
- para ESXi versión 7.0, aplicar ESXi 7.0 Update 1b.
Detalle
Una vulnerabilidad de uso de memoria previamente liberada, presente en los sistemas que se ejecutan en varias versiones del hipervisor ESXi, puede afectar a los sistemas HPE SimpliVity que se ejecutan en cualquiera de las versiones afectadas, y podría permitir a un atacante que resida en la red de gestión y que tenga acceso al puerto 427, en el host ESXi, realizar una ejecución remota de código. Se ha asignado el identificador CVE-2020-3992 para esta vulnerabilidad.
Listado de referencias
Etiquetas