Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos HPE

Fecha de publicación 27/09/2018
Importancia
4 - Alta
Recursos Afectados
  • HPE SGF 4.2 para RHEL 6 y RHEL 7
    • E-Media SGF 4.2
    • Media SGF 4.2
  • HPE SGF 4.3 para RHEL 6 y RHEL 7
    • E-Media SGF 4.3
    • Media SGF 4.3
  • HPE Intelligent Management Center (iMC) anterior a iMC PLAT 7.3 E0605P04
Descripción

Se han detectado varias vulnerabilidades en diversos productos de HPE:

  • En HPE Service Governance Framework (SGF) se podría producir una divulgación remota no autorizada de información.
  • En HPE Intelligent Management Center (iMC) PLAT se podría producir una ejecución remota de código.
Solución
  • Para la la vulnerabilidad de divulgación remota no autorizada de información en HPE Service Governance Framework (SGF) se debe actualizar SGF solicitando a la asistencia de HPE que proporcione el parche de seguridad disponible.
  • Para la vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (iMC) PLAT se especifica que está solucionada en la versión iMC PLAT 7.3 E0605P04, y la lista de productos de red de HP que se incluyen en la actualización aparecen en la sección Resolution de la web.
Detalle

Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:

  • Puede darse una condición de carrera con carga alta en HPE Service Governance Framework (HPE SGF) donde SGF transfirió diferentes parámetros al habilitador. Esto permite una vulnerabilidad de divulgación remota no autorizada de información. Se ha reservado el identificador CVE-2018-7110 para esta vulnerabilidad.
  • Una vulnerabilidad de seguridad en HPE Intelligent Management Center (iMC) PLAT podría aprovecharse para permitir la ejecución remota de código.  Se han reservado los identificadores CVE-2018-7076, CVE-2017-17485, CVE-2017-7525, CVE-2017-9096, CVE-2018-5968 y CVE-2018-7489 para esta vulnerabilidad.

Encuesta valoración