Múltiples vulnerabilidades en varios productos de HPE

Fecha de publicación 27/04/2020
Importancia
4 - Alta
Recursos Afectados
  • HPE IOT + GCP, versiones 1.4.0, 1.4.1, 1.4.2 y 1.2.4.2;
  • HPE Service Pack para ProLiant, versiones 2018.06.0, 2018.09.0 y 2018.11.0 (solo aplica al instalador de firmware de Linux);
  • HPE SATA Read Intensive Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE NVMe Mixed Use Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Business Critical Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server Enterprise Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server SAS Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server SATA Hard Drives HPG2 (solo aplica al instalador de firmware de Linux);
  • HPE Server Solid State Drives HPG2 (solo aplica al instalador de firmware de Linux).
Descripción

Se han detectado 3 vulnerabilidades, 2 de severidad alta y una media, de tipo acceso remoto no autorizado, ejecución de código arbitrario de manera local y acceso remoto a información sensible, respectivamente.

Solución
  • Actualizar HPE UIoT a la versión 1.4.2 RP204.
  • Para los productos afectados por la vulnerabilidad CVE-2020-7135, las soluciones que aparecen listadas en la sección RESOLUTION del aviso pueden aplicarse actualizando HPE Service Pack para ProLiant a la versión 2019.03.0 o posteriores, o actualizando Online HDD/SDD Flash Component para Linux, ambos disponibles desde la web de HPE Support Center.
Detalle
  • Un atacante remoto, no autorizado, podría obtener acceso a información sensible en varias versiones de HPE UIoT. Se ha asignado el identificador CVE-2020-7133 para esta vulnerabilidad.
  • Se ha identificado una vulnerabilidad en los instaladores de firmware de la unidad de disco denominados Supplemental Update / Online ROM Flash Component en los servidores HPE que ejecutan Linux. Un atacante local podría ejecutar código arbitrario en este software vulnerable. Se ha reservado el identificador CVE-2020-7135 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2020-7134.

Encuesta valoración

Listado de referencias
HPESBHF03947 rev.1 - HPE UIoT, Remote Unauthorized Access and Access to Sensitive Data
HPESBHF03945 rev.1 - HPE Servers using Supplemental Update / Online ROM Flash Component for Linux, Local Execution of Arbitrary Code.
Etiquetas